Integrieren Sie Ubuntu in SAMBA4 AD DC in SSSD und Realm - Teil 15

In diesem Tutorial führen Sie sich an, wie Sie sich einem anschließen können Ubuntu Desktop Maschine in a SAMBA4 Active Directory Domain mit SSSD Und Reich Dienste, um Benutzer gegen ein Active Directory zu authentifizieren.

Anforderungen:

1. Erstellen Sie eine Active Directory -Infrastruktur mit SAMBA4 auf Ubuntu

Schritt 1: Erste Konfigurationen

1. Stellen Sie vor dem Anschließen von Ubuntu in ein Active Directory sicher, dass der Hostname ordnungsgemäß konfiguriert ist. Verwenden hostnamectl Befehl zum Festlegen des Maschinennamens oder manuell bearbeiten /etc/hostname Datei.

$ sudo hostnamectl set-hostname your_maachine_short_hostname $ cat /etc /hostname $ hostnamectl 

2. Bearbeiten Sie im nächsten Schritt die Einstellungen der Maschinenetzwerkschnittschnittoberfläche und fügen Sie die richtigen IP -Konfigurationen und die richtigen DNS -IP -Serveradressen hinzu, um auf den SAMBA -AD -Domänen -Controller zu verweisen, wie im folgenden Screenshot dargestellt.

Wenn Sie einen DHCP -Server in Ihren Räumlichkeiten konfiguriert haben.

Konfigurieren Sie die Netzwerkschnittstelle

Auf dem obigen Screenshot, 192.168.1.254 Und 192.168.1.253 repräsentiert die IP -Adressen der SAMBA4 -Domänencontroller.

3. Starten Sie die Netzwerkdienste neu, so Ping -Befehl gegen Ihren Domainnamen, um zu testen, ob die DNS -Auflösung wie erwartet funktioniert. Auch verwenden Gastgeber Befehl zum Testen der DNS -Auflösung.

$ sudo systemCTL Neustart Networking neu.Service $ host your_domain.tld $ ping -c2 your_domain_name $ ping -c2 adc1 $ ping -c2 adc2 

4. Stellen Sie schließlich sicher, dass die Maschinenzeit mit SAMBA4 AD synchronisiert ist. Installieren NTPDATE Paket und Synchronisation mit der Anzeige, indem Sie die folgenden Befehle ausgeben.

$ sudo apt-Get Installieren Sie NTPDate $ sudo ntpdate your_domain_name 

Schritt 2: Installieren Sie die erforderlichen Pakete

5. Installieren Sie in diesem Schritt die erforderliche Software und erforderliche Abhängigkeiten, um Ubuntu in SAMBA4 AD DC anzuschließen: Reich Und SSSD Dienstleistungen.

$ sudo apt installieren adcli realmd krb5-user samba-common-bin samba-libs samba-ddb-modules sssd SSSD-Tools libnss-SSS libpam-SSS-Paketpaket für Richtlinien-1 

6. Geben Sie den Namen des Standardbereichs mit oberen Zapfen ein und drücken Sie Eingeben Schlüssel, um die Installation fortzusetzen.

Setzen Sie den Reichnamen

7. Erstellen Sie als nächstes die SSSD Konfigurationsdatei mit folgenden Inhalten.

$ sudo nano/etc/sssd/ssssd.Conf 

Fügen Sie die folgenden Zeilen hinzu zu SSSD.Conf Datei.

[NSS] filter_groups = root filter_users = root reverction_retries = 3 [PAM] reverction_retries = 3 [SSSD] Domains = Tecmint.lan config_file_version = 2 dienste = nss, pam default_domain_suffix = tecmint.LAN [Domain/Tecmint.lan] ad_domain = tecmint.lan krb5_realm = tecmint.LAN realmd_tags = manages-system joined-with-samba cache_credentials = True id_provider = ad krb5_store_password_if_offline = True default_shell = /bin/bash ldap_id_mapping = True use_fully_qualified_names = True fallback_homedir = /home/%d/%u access_provider = ad auth_provider = ad chpass_provider = AD Access_provider = ad ldap_schema = ad dyndns_update = true dyndns_refresh_interval = 43200 dyndns_update_ptr = true dyndns_ttl = 3600 

Stellen Sie sicher, dass Sie den Domänennamen in den folgenden Parametern entsprechend ersetzen:

Domains = Tecmint.lan default_domain_suffix = tecmint.LAN [Domain/Tecmint.lan] ad_domain = tecmint.lan krb5_realm = tecmint.Lan 

8. Fügen Sie als Nächstes die richtigen Berechtigungen für die SSSD -Datei hinzu, indem Sie den folgenden Befehl ausgeben:

$ sudo chmod 700/etc/SSSD/SSSD.Conf 

9. Jetzt öffnen und bearbeiten Reich Konfigurationsdatei und die folgenden Zeilen hinzufügen.

$ sudo nano /etc /realmd.Conf 

Reich.Conf Dateiauszug:

[Active-Verzeichnis] ​​OS-NAME = Linux Ubuntu OS-Version = 17.04 [Service] Automatische Installation = Ja [Benutzer] Standard-Home =/home/%d/%u Standard-Shell =/bin/bash [Tecmint.lan] user-principal = ja vollqualifizierte Names = Nein 

10. Die letzte Datei, die Sie ändern müssen, gehört zu Samba Daemon. Offen /etc/samba/smb.Conf Datei zum Bearbeiten und Fügen Sie den folgenden Codeblock am Anfang der Datei nach dem hinzu [global] Abschnitt wie auf dem Bild unten dargestellt.

 WorkGroup = Tecmint Client Signing = Ja Client Verwenden.LAN Security = Anzeigen 

SAMBA Server konfigurieren

Stellen Sie sicher, dass Sie die ersetzen Domain -Name Wert, insbesondere der Realmwert um Ihren Domainnamen zu entsprechen und auszuführen Testparm Befehl, um zu überprüfen, ob die Konfigurationsdatei keine Fehler enthält.

$ sudo testparm 

SAMBA -Konfiguration testen

11. Nachdem Sie alle erforderlichen Änderungen vorgenommen haben, testen Sie die Kerberos -Authentifizierung mithilfe eines AD -Verwaltungskontos und listen Sie das Ticket durch die Ausgabe der folgenden Befehle auf.

$ sudo kinit [E -Mail geschützt] $ sudo klist 

Überprüfen Sie die Kerberos -Authentifizierung

Schritt 3: Treten Sie Ubuntu zum Samba4 -Bereich bei

12. Um der Ubuntu -Maschine mit dem SAMBA4 Active Directory -Problem beizutragen. Verwenden Sie den Namen eines AD -DC -Konto.

$ sudo Realm Discover -Vomain.Tld $ sudo realm liste $ sudo realm treten Sie Tecmint bei.Lan -u ad_admin_user -v $ sudo net ads beitreten -k 

Treten Sie Ubuntu zum Samba4 -Bereich bei Listen Sie die Realm -Domain -Informationen auf Fügen Sie den Benutzer zur Realm Domain hinzu Fügen Sie Domain zu Realm hinzu

13. Führen Sie nach der Domänenbindung den folgenden Befehl aus, um sicherzustellen, dass alle Domänenkonten auf der Maschine authentifiziert werden dürfen.

$ sudo Realm Erlaubnis -alle 

Anschließend können Sie Zugriff auf ein Domänenbenutzerkonto oder eine Gruppe zulassen oder verweigern, die den Befehl Realm verwendet, wie in den folgenden Beispielen angegeben.

$ sudo realm leugnen -A $ Realm Erlaubnis -Gruppendomain.TLD \ Linux Admins '$ realm erlaub 

14. Von einem Windows -Computer mit installierten RSAT -Tools können Sie geöffnet werden Ad uc und navigieren zu Computers Container und prüfen Sie, ob ein Objektkonto mit dem Namen Ihrer Maschine erstellt wurde.

Bestätigen Sie die Domäne, die zu AD DC hinzugefügt wurde

Schritt 4: Konfigurieren Sie die AD -Konten Authentifizierung

15. Um sich auf Ubuntu -Maschine mit Domänenkonten zu authentifizieren, müssen Sie ausgeführt werden Pam-Auth-Update Befehl mit Root -Berechtigungen und aktivieren Sie alle PAM -Profile, einschließlich der Option, zum ersten Anmeldung automatisch Heimverzeichnisse für jedes Domain -Konto zu erstellen.

Überprüfen Sie alle Einträge, indem Sie drücken [Raum] Schlüssel und Hit OK Konfiguration anwenden.

$ sudo pam-auth-update 

PAM -Konfiguration

16. Auf Systemen manuell bearbeiten /etc/pam.D/Common-Account Datei und die folgende Zeile, um automatisch Häuser für authentifizierte Domänenbenutzer zu erstellen.

Sitzung erforderlich pam_mkhomedir.Also SKEL =/etc/skel/ümask = 0022 

17. Wenn Active Directory -Benutzer ihr Passwort nicht in der Befehlszeile unter Linux ändern können, öffnen Sie /etc/pam.D/Common-Password Datei und entfernen Sie die Use_authtok Anweisung aus der Passwortzeile, um endlich wie im folgenden Auszug zu schauen.

Passwort [Erfolg = 1 Standard = Ignore] PAM_WINBIND.Also try_first_pass 

18. Starten Sie den Realmd und den SSSD -Dienst schließlich neu und können Sie Änderungen anwenden, indem Sie die folgenden Befehle ausgeben:

$ sudo systemctl restart realmd SSSD $ sudo systemctl aktivieren realmd SSSD 

19. Um zu testen, ob die Ubuntu -Maschine erfolgreich in die Realm -Ausführung integriert wurde, installieren Sie das Winbind -Paket und rennen wbinfo Befehl zur Auflistung von Domänenkonten und Gruppen, wie unten dargestellt.

$ sudo apt -get install Winbind $ wbinfo -u $ wbinfo -g 

Listen Sie Domain -Konten auf

20. Überprüfen Sie auch das Winbind NSSwitch -Modul, indem Sie die ausgeben Getent Befehl gegen einen bestimmten Domänenbenutzer oder eine bestimmte Gruppe.

$ sudo Getent passwd your_domain_user $ sudo Getent Group 'Domain Admins' 

Überprüfen Sie Winbind NSSwitch

21. Sie können auch Linux verwenden Ausweis Befehl, um Informationen zu einem Anzeigenkonto zu erhalten, wie im folgenden Befehl dargestellt.

$ id tecmint_user 

Überprüfen Sie die Anzeigen Benutzerinformationen

22. Um sich auf dem Ubuntu -Host mit einem SAMBA4 -AD -Konto zu authentifizieren su - Befehl. Laufen Ausweis Befehl, um zusätzliche Informationen zum Anzeigenkonto zu erhalten.

$ su - your_ad_user 

AD -Benutzerauthentifizierung

Verwenden PWD Befehl, um Ihr Domänenbenutzer aktuelles Arbeitsverzeichnis und PassWD -Befehl anzuzeigen, wenn Sie das Passwort ändern möchten.

23. Um ein Domänenkonto mit Root -Berechtigungen auf Ihrem Ubuntu -Computer zu verwenden, müssen Sie den Ad -Benutzernamen der Sudo -Systemgruppe hinzufügen, indem Sie den folgenden Befehl ausgeben:

$ sudo usermod -Ag sudo [E -Mail geschützt] 

Melden Sie sich bei Ubuntu mit dem Domain -Konto an und aktualisieren Sie Ihr System, indem Sie ausführen APT -Update Befehl zum Überprüfen von Root -Privilegien.

24. Um Root -Berechtigungen für eine Domänengruppe hinzuzufügen /etc/sudoers Datei mit Visudo Befehl und fügen Sie die folgende Zeile hinzu.

%Domain \ [E -Mail geschützt] alle = (alle: alle) alle 

25. Um die Domänenkonto -Authentifizierung für Ubuntu Desktop zu verwenden, ändern Sie LightDM Anzeigemanager durch Bearbeiten /usr/share/lightDM/lightDM.Conf.D/50-UBUNTU.Conf Datei, fügen Sie die folgenden zwei Zeilen hinzu und starten Sie den LightDM -Dienst neu oder starten Sie den Maschinenantragswechsel neu.

Begrüßer-Show-Manual-Login = True Greeter-Hide-Users = True 

Melden Sie sich mit einem Domänenkonto mit einer beiden an, melden Sie sich bei einem Ubuntu -Desktop an your_domain_username oder [E -Mail geschützt] _domain.tld Syntax.

26. Um das kurze Namensformat für Samba -Anzeigenkonten zu verwenden, bearbeiten Sie /etc/sssd/sssd.Conf Datei, fügen Sie die folgende Zeile hinzu in [SSSD] Block wie unten dargestellt.

full_name_format = %1 $ s 

und starten Sie SSSD -Daemon neu, um Änderungen anzuwenden.

$ sudo systemctl starten ssssd neu starten 

Sie werden feststellen.

27. Falls Sie sich nicht anmelden können, können Sie sich nicht anmelden Aufzählung = wahr Argument eingerichtet SSSD.Conf Sie müssen die SSSD -Datenbank mit der SSSD -Datenbank löschen, indem Sie den folgenden Befehl ausgeben:

$ rm/var/lib/sss/db/cache_tecmint.Lan.LDB 

Das ist alles! Obwohl sich dieser Leitfaden hauptsächlich auf die Integration mit einem SAMBA4 Active Directory konzentriert, können die gleichen Schritte angewendet werden.