Интеграция Ubuntu с Samba4 AD DC с помощью SSSD и Realm. Часть 15.
Из этого руководства вы узнаете, как подключить компьютер Ubuntu Desktop к домену Samba4 Active Directory с помощью SSSD и Realmd. > службы для аутентификации пользователей в Active Directory.
Требования:
- Создайте инфраструктуру Active Directory с помощью Samba4 в Ubuntu
Шаг 1: Начальные настройки
1. Прежде чем приступить к присоединению Ubuntu к Active Directory, убедитесь, что имя хоста настроено правильно. Используйте команду hostnamectl, чтобы задать имя компьютера или вручную отредактировать файл /etc/hostname.
sudo hostnamectl set-hostname your_machine_short_hostname
cat /etc/hostname
hostnamectl
2. На следующем шаге отредактируйте настройки сетевого интерфейса компьютера и добавьте правильные конфигурации IP и правильные адреса IP-серверов DNS, чтобы они указывали на контроллер домена Samba AD, как показано на снимке экрана ниже.
Если вы настроили DHCP-сервер в своем помещении для автоматического назначения настроек IP для ваших компьютеров в локальной сети с правильными IP-адресами AD DNS, вы можете пропустить этот шаг и двигаться дальше.
На снимке экрана выше 192.168.1.254 и 192.168.1.253 представляют IP-адреса контроллеров домена Samba4.
3. Перезапустите сетевые службы, чтобы применить изменения с помощью графического интерфейса или командной строки, и введите серию команд ping для вашего доменного имени, чтобы проверить, правильно ли разрешено DNS. работает как положено. Также используйте команду host для проверки разрешения DNS.
sudo systemctl restart networking.service
host your_domain.tld
ping -c2 your_domain_name
ping -c2 adc1
ping -c2 adc2
4. Наконец, убедитесь, что машинное время синхронизировано с Samba4 AD. Установите пакет ntpdate и синхронизируйте время с AD, выполнив приведенные ниже команды.
sudo apt-get install ntpdate
sudo ntpdate your_domain_name
Шаг 2. Установите необходимые пакеты
5. На этом этапе установите необходимое программное обеспечение и необходимые зависимости для присоединения Ubuntu к службам Samba4 AD DC: Realmd и SSSD.
sudo apt install adcli realmd krb5-user samba-common-bin samba-libs samba-dsdb-modules sssd sssd-tools libnss-sss libpam-sss packagekit policykit-1
6. Введите имя области по умолчанию заглавными буквами и нажмите клавишу Enter, чтобы продолжить установку.
7. Затем создайте файл конфигурации SSSD со следующим содержимым.
sudo nano /etc/sssd/sssd.conf
Добавьте следующие строки в файл sssd.conf.
[nss]
filter_groups = root
filter_users = root
reconnection_retries = 3
[pam]
reconnection_retries = 3
[sssd]
domains = tecmint.lan
config_file_version = 2
services = nss, pam
default_domain_suffix = TECMINT.LAN
[domain/tecmint.lan]
ad_domain = tecmint.lan
krb5_realm = TECMINT.LAN
realmd_tags = manages-system joined-with-samba
cache_credentials = True
id_provider = ad
krb5_store_password_if_offline = True
default_shell = /bin/bash
ldap_id_mapping = True
use_fully_qualified_names = True
fallback_homedir = /home/%d/%u
access_provider = ad
auth_provider = ad
chpass_provider = ad
access_provider = ad
ldap_schema = ad
dyndns_update = true
dyndns_refresh_interval = 43200
dyndns_update_ptr = true
dyndns_ttl = 3600
Обязательно замените имя домена в следующих параметрах соответственно:
domains = tecmint.lan
default_domain_suffix = TECMINT.LAN
[domain/tecmint.lan]
ad_domain = tecmint.lan
krb5_realm = TECMINT.LAN
8. Затем добавьте необходимые разрешения для файла SSSD, введя следующую команду:
sudo chmod 700 /etc/sssd/sssd.conf
9. Теперь откройте и отредактируйте файл конфигурации Realmd и добавьте следующие строки.
sudo nano /etc/realmd.conf
Отрывок из файла Realmd.conf:
[active-directory]
os-name = Linux Ubuntu
os-version = 17.04
[service]
automatic-install = yes
[users]
default-home = /home/%d/%u
default-shell = /bin/bash
[tecmint.lan]
user-principal = yes
fully-qualified-names = no
10. Последний файл, который вам нужно изменить, принадлежит демону Samba. Откройте файл /etc/samba/smb.conf для редактирования и добавьте следующий блок кода в начало файла, после раздела [global], как показано на изображение ниже.
workgroup = TECMINT
client signing = yes
client use spnego = yes
kerberos method = secrets and keytab
realm = TECMINT.LAN
security = ads
Обязательно замените значение имя домена, особенно значение значение области, чтобы оно соответствовало вашему доменному имени, и запустите команду testparm, чтобы проверить, правильно ли настроена конфигурация. файл не содержит ошибок.
sudo testparm
11. После внесения всех необходимых изменений проверьте аутентификацию Kerberos с помощью учетной записи администратора AD и перечислите билет, введя приведенные ниже команды.
sudo kinit [email
sudo klist
Шаг 3. Присоедините Ubuntu к области Samba4.
12. Чтобы подключить машину Ubuntu к Samba4 Active Directory, введите следующую серию команд, как показано ниже. Используйте имя учетной записи AD DC с правами администратора, чтобы привязка к области работала должным образом, и соответствующим образом замените значение имени домена.
sudo realm discover -v DOMAIN.TLD
sudo realm list
sudo realm join TECMINT.LAN -U ad_admin_user -v
sudo net ads join -k
13. После привязки домена выполните приведенную ниже команду, чтобы убедиться, что всем учетным записям домена разрешена проверка подлинности на компьютере.
sudo realm permit --all
Впоследствии вы можете разрешить или запретить доступ для учетной записи пользователя домена или группы, используя команду области, как показано в примерах ниже.
sudo realm deny -a
realm permit --groups ‘domain.tld\Linux Admins’
realm permit [email
realm permit DOMAIN\\User2
14. На компьютере Windows с установленными инструментами RSAT вы можете открыть AD UC, перейти к контейнеру Компьютеры и проверить, существует ли учетная запись объекта с именем вашей машины был создан.
Шаг 4. Настройка аутентификации учетных записей AD
15. Для аутентификации на компьютере с Ubuntu с учетными записями домена вам необходимо запустить команду pam-auth-update с правами root и включить все профили PAM, включая возможность автоматического создания домашние каталоги для каждой учетной записи домена при первом входе в систему.
Проверьте все записи, нажав клавишу [пробел] и нажмите ok, чтобы применить конфигурацию.
sudo pam-auth-update
16. В системах вручную отредактируйте файл /etc/pam.d/common-account и следующую строку, чтобы автоматически создавать дома для прошедших проверку подлинности пользователей домена.
session required pam_mkhomedir.so skel=/etc/skel/ umask=0022
17. Если пользователи Active Directory не могут изменить свой пароль из командной строки в Linux, откройте файл /etc/pam.d/common-password и удалите use_authtok из строки пароля, чтобы в конечном итоге выглядеть так, как показано в приведенном ниже отрывке.
password [success=1 default=ignore] pam_winbind.so try_first_pass
18. Наконец, перезапустите и включите службу Realmd и SSSD для применения изменений, выполнив следующие команды:
sudo systemctl restart realmd sssd
sudo systemctl enable realmd sssd
19. Чтобы проверить, была ли машина с Ubuntu успешно интегрирована в область, запустите установку пакета winbind и выполните команду wbinfo, чтобы получить список учетных записей и групп домена, как показано ниже.
sudo apt-get install winbind
wbinfo -u
wbinfo -g
20. Также проверьте модуль Winbind nsswitch, введя команду getent для конкретного пользователя или группы домена.
sudo getent passwd your_domain_user
sudo getent group ‘domain admins’
21. Вы также можете использовать команду Linux id, чтобы получить информацию об учетной записи AD, как показано в приведенной ниже команде.
id tecmint_user
22. Для аутентификации на хосте Ubuntu с учетной записью Samba4 AD используйте параметр имени пользователя домена после команды su –. Запустите команду id, чтобы получить дополнительную информацию об учетной записи AD.
su - your_ad_user
Используйте команду pwd, чтобы просмотреть текущий рабочий каталог пользователя вашего домена, и команду passwd, если вы хотите сменить пароль.
23. Чтобы использовать учетную запись домена с правами root на вашем компьютере с Ubuntu, вам необходимо добавить имя пользователя AD в системную группу sudo, выполнив следующую команду:
sudo usermod -aG sudo [email
Войдите в Ubuntu под учетной записью домена и обновите свою систему, выполнив команду apt update, чтобы проверить права root.
24. Чтобы добавить права root для группы домена, откройте и отредактируйте файл /etc/sudoers с помощью команды visudo и добавьте следующую строку, как показано на рисунке. .
%domain\ [email ALL=(ALL:ALL) ALL
25. Чтобы использовать аутентификацию учетной записи домена для Ubuntu Desktop, измените диспетчер отображения LightDM, отредактировав /usr/share/lightdm/lightdm.conf.d/50-ubuntu. conf, добавьте следующие две строки и перезапустите службу Lightdm или перезагрузите компьютер, чтобы применить изменения.
greeter-show-manual-login=true
greeter-hide-users=true
Войдите в Ubuntu Desktop с учетной записью домена, используя синтаксис имя_пользователя_вашего_домена или имя_пользователя_вашего_домена@ваш_домен.tld.
26. Чтобы использовать формат короткого имени для учетных записей Samba AD, отредактируйте файл /etc/sssd/sssd.conf, добавив следующую строку в [sssd] . , как показано ниже.
full_name_format = %1$s
и перезапустите демон SSSD, чтобы применить изменения.
sudo systemctl restart sssd
Вы заметите, что приглашение bash изменится на короткое имя пользователя AD без добавления аналога доменного имени.
27. Если вы не можете войти в систему из-за аргумента enumerate=true, установленного в sssd.conf, вы должны очистить кэшированную базу данных sssd, введя приведенную ниже команду. :
rm /var/lib/sss/db/cache_tecmint.lan.ldb
Вот и все! Хотя это руководство в основном сосредоточено на интеграции с Active Directory Samba4, те же шаги можно применить для интеграции Ubuntu со службами Realmd и SSSD в Active Directory Microsoft Windows Server.