Integra Ubuntu a Samba4 AD DC amb SSSD i Realm - Part 15

Aquest tutorial us guiarà sobre com unir-vos a una màquina d'escriptori Ubuntu en un domini Samba4 Active Directory amb serveis SSSD i Realmd per tal d'autenticar usuaris contra un Active Directory.

  1. Creeu una infraestructura d'Active Directory amb Samba4 a Ubuntu

Pas 1: Configuracions inicials

1. Abans de començar a unir Ubuntu a un Active Directory, assegureu-vos que el nom d'amfitrió estigui configurat correctament. Utilitzeu l'ordre hostnamectl per definir el nom de la màquina o editar manualment el fitxer /etc/hostname.

$ sudo hostnamectl set-hostname your_machine_short_hostname
$ cat /etc/hostname
$ hostnamectl

2. Al següent pas, editeu la configuració de la interfície de xarxa de la màquina i afegiu les configuracions IP adequades i les adreces IP correctes del servidor DNS per apuntar al controlador de domini Samba AD tal com es mostra a la captura de pantalla següent.

Si heu configurat un servidor DHCP a les vostres instal·lacions per assignar automàticament la configuració IP per a les vostres màquines LAN amb les adreces IP AD DNS adequades, podeu ometre aquest pas i seguir endavant.

A la captura de pantalla anterior, 192.168.1.254 i 192.168.1.253 representen les adreces IP dels controladors de domini Samba4.

3. Reinicieu els serveis de xarxa per aplicar els canvis mitjançant la GUI o des de la línia d'ordres i emeteu una sèrie d'ordres ping contra el vostre nom de domini per provar si la resolució DNS funciona com s'esperava. A més, utilitzeu l'ordre host per provar la resolució DNS.

$ sudo systemctl restart networking.service
$ host your_domain.tld
$ ping -c2 your_domain_name
$ ping -c2 adc1
$ ping -c2 adc2

4. Finalment, assegureu-vos que el temps de la màquina estigui sincronitzat amb Samba4 AD. Instal·leu el paquet ntpdate i sincronitzeu l'hora amb l'AD emetent les ordres següents.

$ sudo apt-get install ntpdate
$ sudo ntpdate your_domain_name

Pas 2: instal·leu els paquets necessaris

5. En aquest pas, instal·leu el programari necessari i les dependències necessàries per unir Ubuntu a Samba4 AD DC: serveis Realmd i SSSD.

$ sudo apt install adcli realmd krb5-user samba-common-bin samba-libs samba-dsdb-modules sssd sssd-tools libnss-sss libpam-sss packagekit policykit-1

6. Introduïu el nom del domini predeterminat amb majúscules i premeu la tecla Intro per continuar la instal·lació.

7. A continuació, creeu el fitxer de configuració SSSD amb el contingut següent.

$ sudo nano /etc/sssd/sssd.conf

Afegiu les següents línies al fitxer sssd.conf.

[nss]
filter_groups = root
filter_users = root
reconnection_retries = 3

[pam]
reconnection_retries = 3

[sssd]
domains = tecmint.lan
config_file_version = 2
services = nss, pam
default_domain_suffix = TECMINT.LAN


[domain/tecmint.lan]
ad_domain = tecmint.lan
krb5_realm = TECMINT.LAN
realmd_tags = manages-system joined-with-samba
cache_credentials = True
id_provider = ad
krb5_store_password_if_offline = True
default_shell = /bin/bash
ldap_id_mapping = True
use_fully_qualified_names = True
fallback_homedir = /home/%d/%u
access_provider = ad

auth_provider = ad
chpass_provider = ad
access_provider = ad
ldap_schema = ad
dyndns_update = true
dyndns_refresh_interval = 43200
dyndns_update_ptr = true
dyndns_ttl = 3600

Assegureu-vos de substituir el nom de domini en els paràmetres següents en conseqüència:

domains = tecmint.lan
default_domain_suffix = TECMINT.LAN
[domain/tecmint.lan]
ad_domain = tecmint.lan
krb5_realm = TECMINT.LAN

8. A continuació, afegiu els permisos adequats per al fitxer SSSD emetent l'ordre següent:

$ sudo chmod 700 /etc/sssd/sssd.conf

9. Ara, obriu i editeu el fitxer de configuració de Realmd i afegiu les línies següents.

$ sudo nano /etc/realmd.conf

Extracte del fitxer Realmd.conf:

[active-directory]
os-name = Linux Ubuntu
os-version = 17.04

[service]
automatic-install = yes

 [users]
default-home = /home/%d/%u
default-shell = /bin/bash

[tecmint.lan]
user-principal = yes
fully-qualified-names = no

10. L'últim fitxer que heu de modificar pertany al dimoni Samba. Obriu el fitxer /etc/samba/smb.conf per editar-lo i afegiu el següent bloc de codi al començament del fitxer, després de la secció [global] tal com es mostra a la imatge següent.

 workgroup = TECMINT
   client signing = yes
   client use spnego = yes
   kerberos method = secrets and keytab
   realm = TECMINT.LAN
   security = ads

Assegureu-vos de substituir el valor del nom de domini, especialment el valor de domini perquè coincideixi amb el vostre nom de domini i executeu l'ordre testparm per comprovar si el fitxer de configuració no conté errors.

$ sudo testparm

11. Després d'haver fet tots els canvis necessaris, proveu l'autenticació Kerberos amb un compte d'administrador d'AD i enumereu el bitllet emetent les ordres següents.

$ sudo kinit [email 
$ sudo klist

Pas 3: uneix-te a Ubuntu a Samba4 Realm

12. Per unir la màquina Ubuntu a Samba4 Active Directory, emet una sèrie d'ordres com s'il·lustra a continuació. Utilitzeu el nom d'un compte d'AD DC amb privilegis d'administrador perquè la vinculació al regne funcioni com s'esperava i substituïu el valor del nom de domini en conseqüència.

$ sudo realm discover -v DOMAIN.TLD
$ sudo realm list
$ sudo realm join TECMINT.LAN -U ad_admin_user -v
$ sudo net ads join -k

13. Després de l'enllaç del domini, executeu l'ordre següent per assegurar-vos que tots els comptes de domini tinguin permís per autenticar-se a la màquina.

$ sudo realm permit --all

Posteriorment, podeu permetre o denegar l'accés a un compte d'usuari de domini o a un grup mitjançant l'ordre realm tal com es mostra als exemples següents.

$ sudo realm deny -a
$ realm permit --groups ‘domain.tld\Linux Admins’
$ realm permit [email 
$ realm permit DOMAIN\\User2

14. Des d'una màquina Windows amb les eines RSAT instal·lades, podeu obrir AD UC i navegar al contenidor Ordinadors i comprovar si s'ha creat un compte d'objecte amb el nom de la vostra màquina.

Pas 4: configureu l'autenticació de comptes d'AD

15. Per autenticar-vos a la màquina Ubuntu amb comptes de domini, heu d'executar l'ordre pam-auth-update amb privilegis d'arrel i habilitar tots els perfils PAM, inclosa l'opció de crear automàticament directoris d'inici per a cada compte de domini al primer inici de sessió.

Comproveu totes les entrades prement la tecla [espai] i premeu d'acord per aplicar la configuració.

$ sudo pam-auth-update

16. Als sistemes, editeu manualment el fitxer /etc/pam.d/common-account i la línia següent per crear automàticament llars per als usuaris de dominis autenticats.

session    required    pam_mkhomedir.so    skel=/etc/skel/    umask=0022

17. Si els usuaris de l'Active Directory no poden canviar la seva contrasenya des de la línia d'ordres a Linux, obriu el fitxer /etc/pam.d/common-password i elimineu la declaració use_authtok de la línia de contrasenya per, finalment, veure com es mostra a l'extracte següent.

password       [success=1 default=ignore]      pam_winbind.so try_first_pass

18. Finalment, reinicieu i activeu el servei Realmd i SSSD per aplicar els canvis emetent les ordres següents:

$ sudo systemctl restart realmd sssd
$ sudo systemctl enable realmd sssd

19. Per provar si la màquina Ubuntu s'ha integrat correctament al reialme, executeu el paquet winbind i executeu l'ordre wbinfo per llistar els comptes i grups de domini tal com es mostra a continuació.

$ sudo apt-get install winbind
$ wbinfo -u
$ wbinfo -g

20. A més, comproveu el mòdul nsswitch de Winbind emetent l'ordre getent contra un usuari o grup de domini específic.

$ sudo getent passwd your_domain_user
$ sudo getent group ‘domain admins’

21. També podeu utilitzar l'ordre d'identificació de Linux per obtenir informació sobre un compte d'AD, tal com es mostra a l'ordre següent.

$ id tecmint_user

22. Per autenticar-se a l'amfitrió Ubuntu amb un compte Samba4 AD, utilitzeu el paràmetre de nom d'usuari del domini després de l'ordre su –. Executeu l'ordre id per obtenir informació addicional sobre el compte AD.

$ su - your_ad_user

Utilitzeu l'ordre pwd per veure el directori de treball actual de l'usuari del domini i l'ordre passwd si voleu canviar la contrasenya.

23. Per utilitzar un compte de domini amb privilegis d'arrel a la vostra màquina Ubuntu, heu d'afegir el nom d'usuari d'AD al grup del sistema sudo emetent l'ordre següent:

$ sudo usermod -aG sudo [email 

Inicieu sessió a Ubuntu amb el compte de domini i actualitzeu el vostre sistema executant l'ordre d'actualització apt per comprovar els privilegis de root.

24. Per afegir privilegis d'arrel per a un grup de dominis, obriu l'edició final del fitxer /etc/sudoers mitjançant l'ordre visudo i afegiu la línia següent tal com s'il·lustra.

%domain\ [email        		 ALL=(ALL:ALL) ALL

25. Per utilitzar l'autenticació del compte de domini per a Ubuntu Desktop, modifiqueu el gestor de visualització LightDM editant el fitxer /usr/share/lightdm/lightdm.conf.d/50-ubuntu.conf, afegiu les dues línies següents i reinicieu el servei lightdm o reinicieu la màquina. canvis.

greeter-show-manual-login=true
greeter-hide-users=true

Inicieu la sessió a Ubuntu Desktop amb un compte de domini mitjançant la sintaxi your_domain_username o [email _domain.tld.

26. Per utilitzar el format de nom curt per als comptes Samba AD, editeu el fitxer /etc/sssd/sssd.conf, afegiu la línia següent al bloc [sssd] tal com es mostra a continuació.

full_name_format = %1$s

i reinicieu el dimoni SSSD per aplicar els canvis.

$ sudo systemctl restart sssd

Notareu que el missatge de bash canviarà al nom curt de l'usuari d'AD sense afegir la contrapart del nom de domini.

27. En cas que no pugueu iniciar sessió a causa de l'argument enumerate=true establert a sssd.conf, heu d'esborrar la base de dades emmagatzemada a la memòria cau sssd emetent l'ordre següent:

$ rm /var/lib/sss/db/cache_tecmint.lan.ldb

Això és tot! Tot i que aquesta guia se centra principalment en la integració amb un directori actiu Samba4, es poden aplicar els mateixos passos per integrar Ubuntu amb els serveis Realmd i SSSD en un directori actiu de Microsoft Windows Server.