Ubuntu 16 integrieren.04 bis AD als Domain -Mitglied mit Samba und Winbind - Teil 8

In diesem Tutorial wird beschrieben SAMBA4 Active Directory Domäne, um sich zu authentifizieren ANZEIGE Konten mit lokal ACL Für Dateien und Verzeichnisse oder zum Erstellen und Karten von Volumenfreigaben für Domänencontroller -Benutzer (Act A AS Dateiserver).

Anforderungen:

1. Erstellen Sie eine Active Directory -Infrastruktur mit SAMBA4 auf Ubuntu

Schritt 1: Erste Konfigurationen, um Ubuntu mit SAMBA4 AD zu beitreten

1. Bevor Sie anfangen, sich einem anzuschließen Ubuntu Gastgeber in eine Active Directory DC Sie müssen sicherstellen, dass einige Dienste auf lokaler Maschine ordnungsgemäß konfiguriert sind.

Ein wichtiger Aspekt Ihrer Maschine repräsentiert die Hostname. Richten Sie einen richtigen Maschinennamen ein, bevor Sie die Domain mit Hilfe von der Domäne verbinden hostnamectl Befehl oder durch manuell bearbeiten /etc/hostname Datei.

# hostnamectl set-hostname your_maachine_short_name # cat /etc /hostname # hostnamectl 

Setzen Sie das System Hostname

2. Öffnen und manuell Ihre Maschinennetzwerkeinstellungen mit den richtigen IP -Konfigurationen öffnen und manuell bearbeiten. Die wichtigsten Einstellungen hier sind die DNS -IP -Adressen, die auf Ihren Domänencontroller zurückgeben.

Bearbeiten /etc/netzwerk/schnittstellen Datei und hinzufügen DNS-Nameservers Anweisung mit Ihren ordnungsgemäßen Anzeigen -IP -Adressen und Domainnamen, wie im folgenden Screenshot dargestellt.

Stellen Sie außerdem sicher, dass dieselben DNS -IP -Adressen und der Domänenname hinzugefügt werden /etc/resolv.Conf Datei.

Konfigurieren Sie die Netzwerkeinstellungen für die Anzeige

Auf dem obigen Screenshot, 192.168.1.254 Und 192.168.1.253 sind die IP -Adressen der SAMBA4 AD DC Und Tecmint.Lan repräsentiert den Namen der AD -Domäne, die von allen in den Bereich integrierten Maschinen abgefragt wird.

3. Starten Sie die Netzwerkdienste neu oder starten Sie den Computer neu, um die neuen Netzwerkkonfigurationen anzuwenden. Ausgabe a Klingeln Befehl gegen Ihren Domänennamen, um zu testen, ob die DNS -Auflösung wie erwartet funktioniert.

Der Ad dc sollte sich mit seinem FQDN wiederholen. Falls Sie einen DHCP -Server in Ihrem Netzwerk konfiguriert haben, um Ihren LAN -Hosts automatisch IP -Einstellungen zuzuweisen.

# SystemCtl Neustart der Networking.Service # ping -c2 your_domain_name 

4. Die letzte wichtige Konfiguration wird durch die Zeitsynchronisation dargestellt. Installieren NTPDATE Paket, Abfrage und Synchronisation mit dem Ad dc durch Ausgabe der folgenden Befehle.

$ sudo apt -get install NTPDate $ sudo ntpdate -q your_domain_name $ sudo ntpdate your_domain_name 

Zeitsynchronisation mit AD

5. Installieren Sie beim nächsten Schritt die von Ubuntu Machine benötigte Software, um vollständig in die Domäne integriert zu werden, indem Sie den folgenden Befehl ausführen.

$ sudo apt-get installieren Sie Samba KRB5-Config KRB5-Benutzer Winbind Libpam-Winbind Libnss-Winbind 

Installieren Sie SAMBA4 im Ubuntu -Client

Während die Kerberos -Pakete installiert werden, sollten Sie aufgefordert werden, den Namen Ihres Standardbereichs einzugeben. Verwenden Sie den Namen Ihrer Domain mit Oberzügen und drücken Sie Eingeben Schlüssel, um die Installation fortzusetzen.

Addomainnamen hinzufügen

6. Nachdem alle Pakete fertiggestellt wurden, testen Sie die Installation Kerberos Authentifizierung gegen ein AD -Verwaltungskonto und listet das Ticket durch Ausgabe der folgenden Befehle auf.

# Kinit ad_admin_user # KLILE 

Überprüfen Sie die Kerberos -Authentifizierung mit AD

Schritt 2: Treten Sie Ubuntu zu Samba4 ad DC bei

7. Der erste Schritt bei der Integration der Ubuntu -Maschine in die SAMBA4 Active Directory Die Domäne besteht darin, die SAMBA -Konfigurationsdatei zu bearbeiten.

Sicherung der Standardkonfigurationsdatei von Samba, die vom Paketmanager bereitgestellt wird, um mit einer sauberen Konfiguration zu beginnen, indem Sie die folgenden Befehle ausführen.

# MV/etc/samba/smb.conf/etc/samba/smb.Conf.Erstes # Nano/etc/samba/smb.Conf  

Fügen Sie in der neuen Samba -Konfigurationsdatei die folgenden Zeilen hinzu:

[global] WorkGroup = Tecmint Realm = Tecmint.Lan netbios name = ubuntu security = ads dns Forwarder = 192.168.1.1 IDMAP-Konfiguration *: Backend = TDB IDMAP-Konfiguration *: Bereich = 50000-1000000 Template Homedir =/home/%d/%u Vorlage Shell =/bin/bash winbind Verwenden Sie Standarddomain = True Winbind Offline Logon = False Winbind NSS Info = RFC2307 Winbind enum user = yes winbind enum gruppen = yes vfs objects = acl_xattr map acl inherit = yes speichern dos attribute = yes 

SAMBA für AD konfigurieren

Ersetzen Arbeitsgruppe, Reich, Netbios Name Und DNS -Spediteur Variablen mit Ihren eigenen benutzerdefinierten Einstellungen.

Der Winbind Verwenden Sie die Standarddomäne Parameter verursacht Winbind Service zur Behandlung von nicht qualifizierten Anzeigen -Benutzernamen als Benutzer der Anzeige. Sie sollten diesen Parameter weglassen, wenn Sie lokale Systemkonten Namen haben, die sich über Anzeigenkonten überlappen.

8. Jetzt sollten Sie alle Samba-Dämonen neu starten und unnötige Dienste anhalten und entfernen und die systemweite SAMBA-Dienste aktivieren, indem Sie die folgenden Befehle ausstellen.

$ sudo systemctl restart smbd nmbd winbind $ sudo systemCTL STOP SAMBA-AD-DC $ sudo systemctl aktivieren smbd nmbd winbind 

9. Schließen Sie sich Ubuntu Machine an SAMBA4 AD DC durch Ausgabe des folgenden Befehls. Verwenden Sie den Namen eines AD -DC -Kontos mit Administratorberechtigten, damit die Bindung an den Bereich wie erwartet funktioniert.

$ sudo net ads beitreten -u ad_admin_user 

Treten Sie Ubuntu zu Samba4 ad DC bei

10. Von einem Windows -Computer mit installierten RSAT -Tools können Sie geöffnet werden Ad uc und navigieren zu Computers Container. Hier sollte Ihr Ubuntu -Maschine aufgeführt sein.

Bestätigen Sie den Ubuntu -Client in Windows AD DC

Schritt 3: Konfigurieren Sie die AD -Konten Authentifizierung

11. Um Authentifizierung für Anzeigenkonten auf dem lokalen Computer durchzuführen, müssen Sie einige Dienste und Dateien auf dem lokalen Computer ändern.

Erstens öffnen und bearbeiten Der Name Service Switch (NSS) Konfigurationsdatei.

$ sudo nano/etc/nsswitch.Conf 

Als nächstes append Winbind Value für PassWD- und Gruppenlinien, wie im folgenden Auszug dargestellt.

Passwd: Compat Winbind Group: Compat Winbind 

Konfigurieren Sie die AD -Konten Authentifizierung

12. Um zu testen, ob die Ubuntu -Maschine erfolgreich in den RELM Run integriert wurde wbinfo Befehl zum Auflisten von Domänenkonten und Gruppen.

$ wbinfo -u $ wbinfo -g 

Listen Sie die AD -Domain -Konten und -gruppen auf

13. Überprüfen Sie auch das Winbind NSSwitch -Modul, indem Sie die ausgeben Getent Befehl und leiten Sie die Ergebnisse durch einen Filter wie z Grep Um die Ausgabe nur für bestimmte Domänenbenutzer oder Gruppen einzugrenzen.

$ sudo Getent Passwd | grep your_domain_user $ sudo Getent Group | Grep 'Domain Admins' ' 

Überprüfen Sie die Benutzer und Gruppen der Anzeigendomänen und Gruppen

14. Um sich auf Ubuntu -Maschine mit Domänenkonten zu authentifizieren, müssen Sie ausgeführt werden Pam-Auth-Update Befehl mit Root -Privilegien und fügen Sie alle für den WinBind Service erforderlichen Einträge hinzu und erstellen Sie automatisch Heimverzeichnisse für jedes Domain -Konto beim ersten Anmeldung.

Überprüfen Sie alle Einträge, indem Sie drücken [Raum] Schlüssel und Hit OK Konfiguration anwenden.

$ sudo pam-auth-update 

Ubuntu mit Domänenkonten authentifizieren

15. Auf Debian -Systemen müssen Sie manuell bearbeiten /etc/pam.D/Common-Account Datei und die folgende Zeile, um automatisch Häuser für authentifizierte Domänenbenutzer zu erstellen.

Sitzung erforderlich pam_mkhomedir.Also SKEL =/etc/skel/ümask = 0022 

Authentifizieren Debian mit Domänenkonten

16. Damit Active Directory Benutzer, um das Kennwort aus der Befehlszeile in Linux zu ändern, öffnen sich /etc/pam.D/Common-Password Datei und entfernen Sie die Use_authtok Anweisung aus der Passwortzeile, um endlich wie im folgenden Auszug zu schauen.

Passwort [Erfolg = 1 Standard = Ignore] PAM_WINBIND.Also try_first_pass 

Benutzer dürfen das Passwort ändern

17. Um sich auf dem Ubuntu -Host mit einem SAMBA4 -AD -Konto zu authentifizieren. Führen Sie den ID -Befehl aus, um zusätzliche Informationen zum Anzeigenkonto zu erhalten.

$ su - your_ad_user 

Finden Sie Anzeigen Benutzerinformationen

Verwenden.

18. Um ein Domänenkonto mit Root -Berechtigungen auf Ihrem Ubuntu -Computer zu verwenden, müssen Sie den Ad -Benutzernamen der Sudo -Systemgruppe hinzufügen, indem Sie den folgenden Befehl ausgeben:

$ sudo usermod -Ag sudo your_domain_user 

Melden Sie sich bei Ubuntu mit dem Domain -Konto an und aktualisieren Sie Ihr System, indem Sie ausführen APT-Get-Update Befehl, um zu überprüfen, ob der Domänenbenutzer Root -Berechtigungen verfügt.

Fügen Sie sudo User Root Group hinzu

19. Um Root -Berechtigungen für eine Domänengruppe hinzuzufügen /etc/sudoers Datei mit Visudo Befehl und fügen Sie die folgende Zeile hinzu, wie im folgenden Screenshot dargestellt.

%Your_domain \\ your_domain \ gruppe alle = (alle: alle) alle 

Fügen Sie der Domänengruppe Stammberechtigungen hinzu

Verwenden Sie Backslashes, um Flächen zu entkommen, die in Ihren Domänengruppennamen enthalten sind, oder um dem ersten Backslash zu entkommen. Im obigen Beispiel die Domänengruppe für Tecmint Reich heißt "Domain -Administratoren”.

Das vorhergehende Prozentzeichen (%) Das Symbol zeigt an, dass wir uns auf eine Gruppe beziehen, nicht auf einen Benutzernamen.

20. Wenn Sie die grafische Version von Ubuntu ausführen und sich mit einem Domänenbenutzer im System anmelden möchten, müssen Sie den LightDM -Display -Manager durch Bearbeiten ändern /usr/share/lightDM/lightDM.Conf.D/50-UBUNTU.Conf Datei, fügen Sie die folgenden Zeilen hinzu und starten Sie die Maschine neu, um Änderungen widerzuspiegeln.

Begrüßer-Show-Manual-Login = True Greeter-Hide-Users = True 

Es sollte nun in der Lage sein, Anmeldungen auf Ubuntu Desktop mit einem Domänenkonto mit beiden durchzuführen your_domain_username oder [E -Mail geschützt] _domain.tld oder your_domain \ your_domain_username Format.