Поиск по сайту:

Интеграция Ubuntu 16.04 в AD в качестве члена домена с помощью Samba и Winbind — часть 8

В этом руководстве описывается, как подключить компьютер с Ubuntu к домену Samba4 Active Directory, чтобы аутентифицировать учетные записи AD с помощью локального ACL для файлов и каталогов или для создания и сопоставления общих томов для пользователей контроллера домена (действовать в качестве файлового сервера).

Требования:

  1. Создайте инфраструктуру Active Directory с помощью Samba4 в Ubuntu

Шаг 1. Первоначальные настройки для присоединения Ubuntu к Samba4 AD

1. Прежде чем приступить к присоединению хоста Ubuntu к DC Active Directory, вам необходимо убедиться, что некоторые службы настроены правильно на локальном компьютере.

Важным аспектом вашей машины является имя хоста. Прежде чем присоединяться к домену, настройте правильное имя компьютера с помощью команды hostnamectl или вручную отредактировав файл /etc/hostname.


hostnamectl set-hostname your_machine_short_name
cat /etc/hostname
hostnamectl

2. На следующем шаге откройте и вручную измените настройки сети вашего компьютера, указав правильные конфигурации IP. Наиболее важными настройками здесь являются IP-адреса DNS, которые указывают на ваш контроллер домена.

Отредактируйте файл /etc/network/interfaces и добавьте оператор dns-nameservers, указав правильные IP-адреса AD и имя домена, как показано на снимке экрана ниже.

Также убедитесь, что в файл /etc/resolv.conf добавлены одни и те же IP-адреса DNS и имя домена.

На снимке экрана выше 192.168.1.254 и 192.168.1.253 — это IP-адреса Samba4 AD DC и Tecmint.lan< представляет имя домена AD, которое будет запрашиваться всеми компьютерами, интегрированными в область.

3. Перезапустите сетевые службы или перезагрузите компьютер, чтобы применить новые конфигурации сети. Выполните команду ping для вашего доменного имени, чтобы проверить, работает ли разрешение DNS должным образом.

AD DC должен выполнить повторное воспроизведение со своим полным доменным именем. Если вы настроили DHCP-сервер в своей сети для автоматического назначения параметров IP для узлов вашей локальной сети, обязательно добавьте IP-адреса AD DC в конфигурации DNS DHCP-сервера.


systemctl restart networking.service
ping -c2 your_domain_name

4. Последняя необходимая важная настройка представляет собой синхронизацию времени. Установите пакет ntpdate, запросите и синхронизируйте время с AD DC, выполнив приведенные ниже команды.


sudo apt-get install ntpdate
sudo ntpdate -q your_domain_name
sudo ntpdate your_domain_name

5. На следующем шаге установите программное обеспечение, необходимое для полной интеграции компьютера с Ubuntu в домен, выполнив приведенную ниже команду.


sudo apt-get install samba krb5-config krb5-user winbind libpam-winbind libnss-winbind

Во время установки пакетов Kerberos вас попросят ввести имя вашей области по умолчанию. Введите имя своего домена заглавными буквами и нажмите клавишу Enter, чтобы продолжить установку.

6. После завершения установки всех пакетов проверьте проверку подлинности Kerberos для учетной записи администратора AD и перечислите билет, введя приведенные ниже команды.


kinit ad_admin_user
klist

Шаг 2. Подключите Ubuntu к Samba4 AD DC.

7. Первым шагом в интеграции компьютера с Ubuntu в домен Samba4 Active Directory является редактирование файла конфигурации Samba.

Создайте резервную копию файла конфигурации Samba по умолчанию, предоставленного менеджером пакетов, чтобы начать с чистой конфигурации, выполнив следующие команды.


mv /etc/samba/smb.conf /etc/samba/smb.conf.initial
nano /etc/samba/smb.conf 

В новый файл конфигурации Samba добавьте следующие строки:


[global]
        workgroup = TECMINT
        realm = TECMINT.LAN
        netbios name = ubuntu
        security = ADS
        dns forwarder = 192.168.1.1

idmap config * : backend = tdb        
idmap config *:range = 50000-1000000
	
   template homedir = /home/%D/%U
   template shell = /bin/bash
   winbind use default domain = true
   winbind offline logon = false
   winbind nss info = rfc2307
   winbind enum users = yes
   winbind enum groups = yes

  vfs objects = acl_xattr
  map acl inherit = Yes
  store dos attributes = Yes

Замените переменные workgroup, realm, имя netbios и dns пересылки на свои собственные настройки.

Параметр winbind использовать домен по умолчанию заставляет службу winbind рассматривать любые неполные имена пользователей AD как пользователей AD. Этот параметр следует опустить, если имена учетных записей локальной системы перекрывают учетные записи AD.

8. Теперь вам следует перезапустить все демоны samba, остановить и удалить ненужные службы, а также включить службы samba для всей системы, выполнив приведенные ниже команды.


sudo systemctl restart smbd nmbd winbind
sudo systemctl stop samba-ad-dc
sudo systemctl enable smbd nmbd winbind

9. Присоедините машину Ubuntu к Samba4 AD DC, выполнив следующую команду. Используйте имя учетной записи AD DC с правами администратора, чтобы привязка к области работала должным образом.


sudo net ads join -U ad_admin_user

10. На компьютере под управлением Windows с установленными инструментами RSAT вы можете открыть AD UC и перейти к контейнеру Компьютеры. Здесь должен быть указан ваш компьютер, подключенный к Ubuntu.

Шаг 3. Настройка аутентификации учетных записей AD

11. Чтобы выполнить аутентификацию учетных записей AD на локальном компьютере, вам необходимо изменить некоторые службы и файлы на локальном компьютере.

Сначала откройте и отредактируйте файл конфигурации Переключатель службы имен (NSS).


sudo nano /etc/nsswitch.conf

Затем добавьте значение winbind для строк passwd и group, как показано в приведенном ниже фрагменте.


passwd:         compat winbind
group:          compat winbind

12. Чтобы проверить, была ли машина Ubuntu успешно интегрирована в область, запустите команду wbinfo, чтобы получить список учетных записей и групп домена.


wbinfo -u
wbinfo -g

13. Кроме того, проверьте модуль Winbind nsswitch, введя команду getent, и пропустите результаты через фильтр, например grep, чтобы сузить вывод только для конкретных пользователей или групп домена.


sudo getent passwd| grep your_domain_user
sudo getent group|grep 'domain admins'

14. Для аутентификации на компьютере с Ubuntu с учетными записями домена вам необходимо запустить команду pam-auth-update с правами root и добавить все записи, необходимые для службы winbind, и автоматически создавать домашние каталоги для каждой учетной записи домена при первом входе в систему.

Проверьте все записи, нажав клавишу [пробел] и нажмите ok, чтобы применить конфигурацию.


sudo pam-auth-update

15. В системах Debian вам необходимо вручную отредактировать файл /etc/pam.d/common-account и следующую строку, чтобы автоматически создавать дома для аутентифицированных пользователей домена.


session    required    pam_mkhomedir.so    skel=/etc/skel/    umask=0022

16. Чтобы пользователи Active Directory могли менять пароль из командной строки в Linux, откройте /etc/pam.d/common-password > и удалите оператор use_authtok из строки пароля, чтобы в итоге он выглядел так, как показано в приведенном ниже отрывке.


password       [success=1 default=ignore]      pam_winbind.so try_first_pass

17. Для аутентификации на хосте Ubuntu с учетной записью Samba4 AD используйте параметр имени пользователя домена после команды su –. Запустите команду id, чтобы получить дополнительную информацию об учетной записи AD.


su - your_ad_user

Используйте команду pwd, чтобы увидеть текущий каталог пользователя вашего домена, и команду passwd, если вы хотите сменить пароль.

18. Чтобы использовать учетную запись домена с правами root на вашем компьютере с Ubuntu, вам необходимо добавить имя пользователя AD в системную группу sudo, выполнив следующую команду:


sudo usermod -aG sudo your_domain_user

Войдите в Ubuntu с учетной записью домена и обновите свою систему, выполнив команду apt-get update, чтобы проверить, есть ли у пользователя домена права root.

19. Чтобы добавить права root для группы домена, откройте и отредактируйте файл /etc/sudoers с помощью команды visudo и добавьте следующую строку, как показано на рисунке. на скриншоте ниже.


%YOUR_DOMAIN\\your_domain\  group       		 ALL=(ALL:ALL) ALL

Используйте обратную косую черту, чтобы избежать пробелов, содержащихся в имени группы вашего домена, или для экранирования первой обратной косой черты. В приведенном выше примере группа домена для области TECMINT называется «администраторы домена».

Предыдущий символ процента (%) указывает, что мы имеем в виду группу, а не имя пользователя.

20. Если вы используете графическую версию Ubuntu и хотите войти в систему с пользователем домена, вам необходимо изменить диспетчер отображения LightDM, отредактировав /usr/share/lightdm. /lightdm.conf.d/50-ubuntu.conf добавьте следующие строки и перезагрузите компьютер, чтобы отразить изменения.


greeter-show-manual-login=true
greeter-hide-users=true

Теперь он сможет выполнять вход в Ubuntu Desktop с учетной записью домена, используя формат имя_пользователя_вашего_домена, имя_пользователя_вашего_домена@ваш_домен.tld или ваш_домен\имя_пользователя_вашего_домена. .