Integra Ubuntu a Samba4 AD DC amb SSSD i Realm - Part 15
Aquest tutorial us guiarà sobre com unir-vos a una màquina d'escriptori Ubuntu en un domini Samba4 Active Directory amb serveis SSSD i Realmd per tal d'autenticar usuaris contra un Active Directory.
- Creeu una infraestructura d'Active Directory amb Samba4 a Ubuntu
Pas 1: Configuracions inicials
1. Abans de començar a unir Ubuntu a un Active Directory, assegureu-vos que el nom d'amfitrió estigui configurat correctament. Utilitzeu l'ordre hostnamectl per definir el nom de la màquina o editar manualment el fitxer /etc/hostname.
$ sudo hostnamectl set-hostname your_machine_short_hostname $ cat /etc/hostname $ hostnamectl
2. Al següent pas, editeu la configuració de la interfície de xarxa de la màquina i afegiu les configuracions IP adequades i les adreces IP correctes del servidor DNS per apuntar al controlador de domini Samba AD tal com es mostra a la captura de pantalla següent.
Si heu configurat un servidor DHCP a les vostres instal·lacions per assignar automàticament la configuració IP per a les vostres màquines LAN amb les adreces IP AD DNS adequades, podeu ometre aquest pas i seguir endavant.
A la captura de pantalla anterior, 192.168.1.254 i 192.168.1.253 representen les adreces IP dels controladors de domini Samba4.
3. Reinicieu els serveis de xarxa per aplicar els canvis mitjançant la GUI o des de la línia d'ordres i emeteu una sèrie d'ordres ping contra el vostre nom de domini per provar si la resolució DNS funciona com s'esperava. A més, utilitzeu l'ordre host per provar la resolució DNS.
$ sudo systemctl restart networking.service $ host your_domain.tld $ ping -c2 your_domain_name $ ping -c2 adc1 $ ping -c2 adc2
4. Finalment, assegureu-vos que el temps de la màquina estigui sincronitzat amb Samba4 AD. Instal·leu el paquet ntpdate i sincronitzeu l'hora amb l'AD emetent les ordres següents.
$ sudo apt-get install ntpdate $ sudo ntpdate your_domain_name
Pas 2: instal·leu els paquets necessaris
5. En aquest pas, instal·leu el programari necessari i les dependències necessàries per unir Ubuntu a Samba4 AD DC: serveis Realmd i SSSD.
$ sudo apt install adcli realmd krb5-user samba-common-bin samba-libs samba-dsdb-modules sssd sssd-tools libnss-sss libpam-sss packagekit policykit-1
6. Introduïu el nom del domini predeterminat amb majúscules i premeu la tecla Intro per continuar la instal·lació.
7. A continuació, creeu el fitxer de configuració SSSD amb el contingut següent.
$ sudo nano /etc/sssd/sssd.conf
Afegiu les següents línies al fitxer sssd.conf.
[nss] filter_groups = root filter_users = root reconnection_retries = 3 [pam] reconnection_retries = 3 [sssd] domains = tecmint.lan config_file_version = 2 services = nss, pam default_domain_suffix = TECMINT.LAN [domain/tecmint.lan] ad_domain = tecmint.lan krb5_realm = TECMINT.LAN realmd_tags = manages-system joined-with-samba cache_credentials = True id_provider = ad krb5_store_password_if_offline = True default_shell = /bin/bash ldap_id_mapping = True use_fully_qualified_names = True fallback_homedir = /home/%d/%u access_provider = ad auth_provider = ad chpass_provider = ad access_provider = ad ldap_schema = ad dyndns_update = true dyndns_refresh_interval = 43200 dyndns_update_ptr = true dyndns_ttl = 3600
Assegureu-vos de substituir el nom de domini en els paràmetres següents en conseqüència:
domains = tecmint.lan default_domain_suffix = TECMINT.LAN [domain/tecmint.lan] ad_domain = tecmint.lan krb5_realm = TECMINT.LAN
8. A continuació, afegiu els permisos adequats per al fitxer SSSD emetent l'ordre següent:
$ sudo chmod 700 /etc/sssd/sssd.conf
9. Ara, obriu i editeu el fitxer de configuració de Realmd i afegiu les línies següents.
$ sudo nano /etc/realmd.conf
Extracte del fitxer Realmd.conf:
[active-directory] os-name = Linux Ubuntu os-version = 17.04 [service] automatic-install = yes [users] default-home = /home/%d/%u default-shell = /bin/bash [tecmint.lan] user-principal = yes fully-qualified-names = no
10. L'últim fitxer que heu de modificar pertany al dimoni Samba. Obriu el fitxer /etc/samba/smb.conf per editar-lo i afegiu el següent bloc de codi al començament del fitxer, després de la secció [global] tal com es mostra a la imatge següent.
workgroup = TECMINT client signing = yes client use spnego = yes kerberos method = secrets and keytab realm = TECMINT.LAN security = ads
Assegureu-vos de substituir el valor del nom de domini, especialment el valor de domini perquè coincideixi amb el vostre nom de domini i executeu l'ordre testparm per comprovar si el fitxer de configuració no conté errors.
$ sudo testparm
11. Després d'haver fet tots els canvis necessaris, proveu l'autenticació Kerberos amb un compte d'administrador d'AD i enumereu el bitllet emetent les ordres següents.
$ sudo kinit [email $ sudo klist
Pas 3: uneix-te a Ubuntu a Samba4 Realm
12. Per unir la màquina Ubuntu a Samba4 Active Directory, emet una sèrie d'ordres com s'il·lustra a continuació. Utilitzeu el nom d'un compte d'AD DC amb privilegis d'administrador perquè la vinculació al regne funcioni com s'esperava i substituïu el valor del nom de domini en conseqüència.
$ sudo realm discover -v DOMAIN.TLD $ sudo realm list $ sudo realm join TECMINT.LAN -U ad_admin_user -v $ sudo net ads join -k
13. Després de l'enllaç del domini, executeu l'ordre següent per assegurar-vos que tots els comptes de domini tinguin permís per autenticar-se a la màquina.
$ sudo realm permit --all
Posteriorment, podeu permetre o denegar l'accés a un compte d'usuari de domini o a un grup mitjançant l'ordre realm tal com es mostra als exemples següents.
$ sudo realm deny -a $ realm permit --groups ‘domain.tld\Linux Admins’ $ realm permit [email $ realm permit DOMAIN\\User2
14. Des d'una màquina Windows amb les eines RSAT instal·lades, podeu obrir AD UC i navegar al contenidor Ordinadors i comprovar si s'ha creat un compte d'objecte amb el nom de la vostra màquina.
Pas 4: configureu l'autenticació de comptes d'AD
15. Per autenticar-vos a la màquina Ubuntu amb comptes de domini, heu d'executar l'ordre pam-auth-update amb privilegis d'arrel i habilitar tots els perfils PAM, inclosa l'opció de crear automàticament directoris d'inici per a cada compte de domini al primer inici de sessió.
Comproveu totes les entrades prement la tecla [espai] i premeu d'acord per aplicar la configuració.
$ sudo pam-auth-update
16. Als sistemes, editeu manualment el fitxer /etc/pam.d/common-account i la línia següent per crear automàticament llars per als usuaris de dominis autenticats.
session required pam_mkhomedir.so skel=/etc/skel/ umask=0022
17. Si els usuaris de l'Active Directory no poden canviar la seva contrasenya des de la línia d'ordres a Linux, obriu el fitxer /etc/pam.d/common-password i elimineu la declaració use_authtok de la línia de contrasenya per, finalment, veure com es mostra a l'extracte següent.
password [success=1 default=ignore] pam_winbind.so try_first_pass
18. Finalment, reinicieu i activeu el servei Realmd i SSSD per aplicar els canvis emetent les ordres següents:
$ sudo systemctl restart realmd sssd $ sudo systemctl enable realmd sssd
19. Per provar si la màquina Ubuntu s'ha integrat correctament al reialme, executeu el paquet winbind i executeu l'ordre wbinfo per llistar els comptes i grups de domini tal com es mostra a continuació.
$ sudo apt-get install winbind $ wbinfo -u $ wbinfo -g
20. A més, comproveu el mòdul nsswitch de Winbind emetent l'ordre getent contra un usuari o grup de domini específic.
$ sudo getent passwd your_domain_user $ sudo getent group ‘domain admins’
21. També podeu utilitzar l'ordre d'identificació de Linux per obtenir informació sobre un compte d'AD, tal com es mostra a l'ordre següent.
$ id tecmint_user
22. Per autenticar-se a l'amfitrió Ubuntu amb un compte Samba4 AD, utilitzeu el paràmetre de nom d'usuari del domini després de l'ordre su –. Executeu l'ordre id per obtenir informació addicional sobre el compte AD.
$ su - your_ad_user
Utilitzeu l'ordre pwd per veure el directori de treball actual de l'usuari del domini i l'ordre passwd si voleu canviar la contrasenya.
23. Per utilitzar un compte de domini amb privilegis d'arrel a la vostra màquina Ubuntu, heu d'afegir el nom d'usuari d'AD al grup del sistema sudo emetent l'ordre següent:
$ sudo usermod -aG sudo [email
Inicieu sessió a Ubuntu amb el compte de domini i actualitzeu el vostre sistema executant l'ordre d'actualització apt per comprovar els privilegis de root.
24. Per afegir privilegis d'arrel per a un grup de dominis, obriu l'edició final del fitxer /etc/sudoers mitjançant l'ordre visudo i afegiu la línia següent tal com s'il·lustra.
%domain\ [email ALL=(ALL:ALL) ALL
25. Per utilitzar l'autenticació del compte de domini per a Ubuntu Desktop, modifiqueu el gestor de visualització LightDM editant el fitxer /usr/share/lightdm/lightdm.conf.d/50-ubuntu.conf, afegiu les dues línies següents i reinicieu el servei lightdm o reinicieu la màquina. canvis.
greeter-show-manual-login=true greeter-hide-users=true
Inicieu la sessió a Ubuntu Desktop amb un compte de domini mitjançant la sintaxi your_domain_username o [email _domain.tld.
26. Per utilitzar el format de nom curt per als comptes Samba AD, editeu el fitxer /etc/sssd/sssd.conf, afegiu la línia següent al bloc [sssd] tal com es mostra a continuació.
full_name_format = %1$s
i reinicieu el dimoni SSSD per aplicar els canvis.
$ sudo systemctl restart sssd
Notareu que el missatge de bash canviarà al nom curt de l'usuari d'AD sense afegir la contrapart del nom de domini.
27. En cas que no pugueu iniciar sessió a causa de l'argument enumerate=true establert a sssd.conf, heu d'esborrar la base de dades emmagatzemada a la memòria cau sssd emetent l'ordre següent:
$ rm /var/lib/sss/db/cache_tecmint.lan.ldb
Això és tot! Tot i que aquesta guia se centra principalment en la integració amb un directori actiu Samba4, es poden aplicar els mateixos passos per integrar Ubuntu amb els serveis Realmd i SSSD en un directori actiu de Microsoft Windows Server.