Integreu Ubuntu 16.04 a AD com a membre de domini amb Samba i Winbind - Part 8
Aquest tutorial descriu com unir una màquina Ubuntu a un domini Samba4 Active Directory per autenticar comptes AD amb ACL locals per a fitxers i directoris o per crear i mapejar comparticions de volum per als usuaris del controlador de domini (actuar com a servidor de fitxers).
- Creeu una infraestructura d'Active Directory amb Samba4 a Ubuntu
Pas 1: configuracions inicials per unir Ubuntu a Samba4 AD
1. Abans de començar a unir-se a un amfitrió Ubuntu a un DC d'Active Directory, heu d'assegurar-vos que alguns serveis estan configurats correctament a la màquina local.
Un aspecte important de la vostra màquina representa el nom d'amfitrió. Configureu un nom de màquina adequat abans d'unir-vos al domini amb l'ajuda de l'ordre hostnamectl o editant manualment el fitxer /etc/hostname.
# hostnamectl set-hostname your_machine_short_name # cat /etc/hostname # hostnamectl
2. Al pas següent, obriu i editeu manualment la configuració de xarxa de la vostra màquina amb les configuracions IP adequades. La configuració més important aquí són les adreces IP de DNS que tornen al controlador de domini.
Editeu el fitxer /etc/network/interfaces i afegiu la declaració dns-nameservers amb les vostres adreces IP AD i el vostre nom de domini adequats, tal com es mostra a la captura de pantalla següent.
A més, assegureu-vos que s'afegeixin les mateixes adreces IP DNS i el nom de domini al fitxer /etc/resolv.conf.
A la captura de pantalla anterior, 192.168.1.254 i 192.168.1.253 són les adreces IP del Samba4 AD DC i Tecmint.lan representa el nom del domini AD que serà consultat per totes les màquines integrades al regne.
3. Reinicieu els serveis de xarxa o reinicieu la màquina per aplicar les noves configuracions de xarxa. Emet una ordre ping contra el teu nom de domini per provar si la resolució DNS funciona com s'esperava.
L'AD DC hauria de reproduir-se amb el seu FQDN. En cas que hàgiu configurat un servidor DHCP a la vostra xarxa per assignar automàticament paràmetres IP per als vostres amfitrions LAN, assegureu-vos d'afegir adreces IP AD DC a les configuracions DNS del servidor DHCP.
# systemctl restart networking.service # ping -c2 your_domain_name
4. L'última configuració important necessària està representada per la sincronització horària. Instal·leu el paquet ntpdate, consulteu i temps de sincronització amb AD DC emetent les ordres següents.
$ sudo apt-get install ntpdate $ sudo ntpdate -q your_domain_name $ sudo ntpdate your_domain_name
5. Al següent pas, instal·leu el programari que requereix la màquina Ubuntu per integrar-se completament al domini executant l'ordre següent.
$ sudo apt-get install samba krb5-config krb5-user winbind libpam-winbind libnss-winbind
Mentre s'estan instal·lant els paquets Kerberos, se us hauria de demanar que introduïu el nom del vostre regne predeterminat. Utilitzeu el nom del vostre domini amb majúscules i premeu la tecla Intro per continuar la instal·lació.
6. Quan tots els paquets s'acabin d'instal·lar, proveu l'autenticació Kerberos amb un compte d'administrador d'AD i enumereu el bitllet emetent les ordres següents.
# kinit ad_admin_user # klist
Pas 2: uneix-te a Ubuntu a Samba4 AD DC
7. El primer pas per integrar la màquina Ubuntu al domini Samba4 Active Directory és editar el fitxer de configuració de Samba.
Feu una còpia de seguretat del fitxer de configuració predeterminat de Samba, proporcionat pel gestor de paquets, per tal de començar amb una configuració neta executant les ordres següents.
# mv /etc/samba/smb.conf /etc/samba/smb.conf.initial # nano /etc/samba/smb.conf
Al nou fitxer de configuració de Samba, afegiu les línies següents:
[global]
workgroup = TECMINT
realm = TECMINT.LAN
netbios name = ubuntu
security = ADS
dns forwarder = 192.168.1.1
idmap config * : backend = tdb
idmap config *:range = 50000-1000000
template homedir = /home/%D/%U
template shell = /bin/bash
winbind use default domain = true
winbind offline logon = false
winbind nss info = rfc2307
winbind enum users = yes
winbind enum groups = yes
vfs objects = acl_xattr
map acl inherit = Yes
store dos attributes = Yes
Substituïu les variables del grup de treball, el regne, el nom de netbios i el reenviador dns amb la vostra pròpia configuració personalitzada.
El paràmetre de domini predeterminat d'ús de winbind fa que el servei winbind tracti els noms d'usuari d'AD no qualificats com a usuaris de l'AD. Hauríeu d'ometre aquest paràmetre si teniu noms de comptes de sistema locals que se superposen als comptes AD.
8. Ara hauríeu de reiniciar tots els dimonis de samba i aturar i eliminar els serveis innecessaris i habilitar els serveis de samba a tot el sistema emetent les ordres següents.
$ sudo systemctl restart smbd nmbd winbind $ sudo systemctl stop samba-ad-dc $ sudo systemctl enable smbd nmbd winbind
9. Uniu la màquina Ubuntu a Samba4 AD DC emetent l'ordre següent. Utilitzeu el nom d'un compte d'AD DC amb privilegis d'administrador per tal que la vinculació al regne funcioni com s'esperava.
$ sudo net ads join -U ad_admin_user
10. Des d'una màquina Windows amb les eines RSAT instal·lades, podeu obrir AD UC i navegar al contenidor Ordinadors. Aquí, la vostra màquina unida a Ubuntu hauria d'estar llistada.
Pas 3: configureu l'autenticació de comptes d'AD
11. Per dur a terme l'autenticació dels comptes AD a la màquina local, heu de modificar alguns serveis i fitxers a la màquina local.
En primer lloc, obriu i editeu el fitxer de configuració de The Name Service Switch (NSS).
$ sudo nano /etc/nsswitch.conf
A continuació, afegiu el valor de winbind per a les línies passwd i grup, tal com es mostra a l'extracte següent.
passwd: compat winbind group: compat winbind
12. Per provar si la màquina Ubuntu s'ha integrat correctament al regne, executeu l'ordre wbinfo per llistar els comptes i grups de domini.
$ wbinfo -u $ wbinfo -g
13. A més, comproveu el mòdul nsswitch de Winbind emetent l'ordre getent i canalitzeu els resultats a través d'un filtre com ara grep per reduir la sortida només per a usuaris o grups de domini específics.
$ sudo getent passwd| grep your_domain_user $ sudo getent group|grep 'domain admins'
14. Per autenticar-vos a la màquina Ubuntu amb comptes de domini, heu d'executar l'ordre pam-auth-update amb privilegis d'arrel i afegir totes les entrades necessàries per al servei winbind i crear automàticament directoris d'inici per a cada compte de domini al primer inici de sessió.
Comproveu totes les entrades prement la tecla [espai] i premeu d'acord per aplicar la configuració.
$ sudo pam-auth-update
15. Als sistemes Debian, heu d'editar manualment el fitxer /etc/pam.d/common-account i la línia següent per crear automàticament llars per als usuaris de dominis autenticats.
session required pam_mkhomedir.so skel=/etc/skel/ umask=0022
16. Per tal que els usuaris de l'Active Directory puguin canviar la contrasenya des de la línia d'ordres a Linux, obriu el fitxer /etc/pam.d/common-password i elimineu la declaració use_authtok de la línia de contrasenya per, finalment, veure's com a l'extracte següent.
password [success=1 default=ignore] pam_winbind.so try_first_pass
17. Per autenticar-vos a l'amfitrió Ubuntu amb un compte Samba4 AD, utilitzeu el paràmetre de nom d'usuari del domini després de l'ordre su –. Executeu l'ordre id per obtenir informació addicional sobre el compte AD.
$ su - your_ad_user
Utilitzeu l'ordre pwd per veure el directori actual de l'usuari del vostre domini i l'ordre passwd si voleu canviar la contrasenya.
18. Per utilitzar un compte de domini amb privilegis d'arrel a la vostra màquina Ubuntu, heu d'afegir el nom d'usuari d'AD al grup del sistema sudo emetent l'ordre següent:
$ sudo usermod -aG sudo your_domain_user
Inicieu sessió a Ubuntu amb el compte de domini i actualitzeu el vostre sistema executant l'ordre apt-get update per comprovar si l'usuari del domini té privilegis d'arrel.
19. Per afegir privilegis d'arrel per a un grup de dominis, obriu l'edició final del fitxer /etc/sudoers mitjançant l'ordre visudo i afegiu la línia següent tal com es mostra a la captura de pantalla següent.
%YOUR_DOMAIN\\your_domain\ group ALL=(ALL:ALL) ALL
Utilitzeu barres invertides per escapar dels espais continguts al nom del vostre grup de domini o per escapar de la primera barra invertida. A l'exemple anterior, el grup de dominis del regne TECMINT s'anomena \administradors del domini.
El símbol (%) del signe de percentatge anterior indica que ens referim a un grup, no a un nom d'usuari.
20. En cas que esteu executant la versió gràfica d'Ubuntu i voleu iniciar sessió al sistema amb un usuari de domini, heu de modificar el gestor de visualització de LightDM editant /usr/share/lightdm/lightdm.conf.d/50-ubuntu .conf, afegiu les línies següents i reinicieu la màquina per reflectir els canvis.
greeter-show-manual-login=true greeter-hide-users=true
Ara hauria de poder iniciar sessió a l'escriptori Ubuntu amb un compte de domini amb el format your_domain_username o [email _domain.tld o your_domain\your_domain_username.