Unganisha Ubuntu 16.04 hadi AD kama Mwanachama wa Kikoa na Samba na Winbind - Sehemu ya 8


Mafunzo haya yanafafanua jinsi ya kujiunga na mashine ya Ubuntu kwenye kikoa cha Samba4 Active Directory ili kuthibitisha akaunti za AD na ACL ya ndani ya faili na saraka au kuunda na kuweka ramani za hisa kwa watumiaji wa kidhibiti cha kikoa (tenda kama seva ya faili).

  1. Unda Muundo Amilifu wa Saraka ukitumia Samba4 kwenye Ubuntu

Hatua ya 1: Mipangilio ya Awali ya Kujiunga na Ubuntu hadi Samba4 AD

1. Kabla ya kuanza kujiunga na mwenyeji wa Ubuntu kwenye Active Directory DC unahitaji kuhakikisha kwamba baadhi ya huduma zimesanidiwa ipasavyo kwenye mashine ya ndani.

Kipengele muhimu cha mashine yako kinawakilisha jina la mpangishaji. Sanidi jina linalofaa la mashine kabla ya kujiunga na kikoa kwa usaidizi wa amri ya hostnamectl au kwa kuhariri /etc/hostname mwenyewe faili.

# hostnamectl set-hostname your_machine_short_name
# cat /etc/hostname
# hostnamectl

2. Katika hatua inayofuata, fungua na uhariri mwenyewe mipangilio ya mtandao wa mashine yako na usanidi sahihi wa IP. Mipangilio muhimu zaidi hapa ni anwani za IP za DNS ambazo huelekeza nyuma kwa kidhibiti chako cha kikoa.

Hariri faili ya /etc/network/interfaces na uongeze taarifa ya dns-nameservers na anwani zako sahihi za AD IP na jina la kikoa kama inavyoonyeshwa kwenye picha ya skrini iliyo hapa chini.

Pia, hakikisha kwamba anwani sawa za IP za DNS na jina la kikoa zimeongezwa kwenye faili /etc/resolv.conf.

Kwenye picha ya skrini iliyo hapo juu, 192.168.1.254 na 192.168.1.253 ni anwani za IP za Samba4 AD DC na Tecmint.lan inawakilisha jina la kikoa cha AD ambalo litaulizwa na mashine zote zilizounganishwa katika ulimwengu.

3. Anzisha upya huduma za mtandao au uwashe upya mashine ili kutumia usanidi mpya wa mtandao. Toa amri ya ping dhidi ya jina la kikoa chako ili kujaribu ikiwa azimio la DNS linafanya kazi inavyotarajiwa.

AD DC inapaswa kucheza tena na FQDN yake. Iwapo umesanidi seva ya DHCP katika mtandao wako ili kugawa mipangilio ya IP kiotomatiki kwa wapangishi wako wa LAN, hakikisha kuwa umeongeza anwani za IP za AD DC kwenye usanidi wa DNS wa seva ya DHCP.

# systemctl restart networking.service
# ping -c2 your_domain_name

4. Usanidi muhimu wa mwisho unaohitajika unawakilishwa na maingiliano ya wakati. Sakinisha kifurushi cha ntpdate, hoji na muda wa kusawazisha na AD DC kwa kutoa amri zilizo hapa chini.

$ sudo apt-get install ntpdate
$ sudo ntpdate -q your_domain_name
$ sudo ntpdate your_domain_name

5. Katika hatua inayofuata sakinisha programu inayohitajika na mashine ya Ubuntu kuunganishwa kikamilifu kwenye kikoa kwa kuendesha amri iliyo hapa chini.

$ sudo apt-get install samba krb5-config krb5-user winbind libpam-winbind libnss-winbind

Wakati vifurushi vya Kerberos vinasakinisha unapaswa kuulizwa kuingiza jina la eneo lako chaguo-msingi. Tumia jina la kikoa chako na herufi kubwa na ubonyeze kitufe cha Enter ili kuendelea na usakinishaji.

6. Baada ya vifurushi vyote kukamilika kusakinisha, jaribu uthibitishaji wa Kerberos dhidi ya akaunti ya usimamizi wa AD na uorodheshe tikiti kwa kutoa amri zilizo hapa chini.

# kinit ad_admin_user
# klist

Hatua ya 2: Jiunge na Ubuntu hadi Samba4 AD DC

7. Hatua ya kwanza ya kuunganisha mashine ya Ubuntu kwenye kikoa cha Samba4 Active Directory ni kuhariri faili ya usanidi ya Samba.

Hifadhi faili ya usanidi chaguo-msingi ya Samba, iliyotolewa na msimamizi wa kifurushi, ili kuanza na usanidi safi kwa kuendesha amri zifuatazo.

# mv /etc/samba/smb.conf /etc/samba/smb.conf.initial
# nano /etc/samba/smb.conf 

Kwenye faili mpya ya usanidi wa Samba ongeza mistari ifuatayo:

[global]
        workgroup = TECMINT
        realm = TECMINT.LAN
        netbios name = ubuntu
        security = ADS
        dns forwarder = 192.168.1.1

idmap config * : backend = tdb        
idmap config *:range = 50000-1000000
	
   template homedir = /home/%D/%U
   template shell = /bin/bash
   winbind use default domain = true
   winbind offline logon = false
   winbind nss info = rfc2307
   winbind enum users = yes
   winbind enum groups = yes

  vfs objects = acl_xattr
  map acl inherit = Yes
  store dos attributes = Yes

Badilisha kikundi cha kazi, ulimwengu, jina la netbios na vibadilishaji vya usambazaji wa dns na mipangilio yako maalum.

Kigezo chaguomsingi cha kikoa cha winbind husababisha huduma ya winbind kutibu majina ya watumiaji ya AD yasiyostahiki kama watumiaji wa AD. Unapaswa kuacha kigezo hiki ikiwa una majina ya akaunti za mfumo wa ndani ambayo yanapishana akaunti za AD.

8. Sasa unapaswa kuanzisha upya daemoni zote za samba na usimamishe na uondoe huduma zisizo za lazima na uwashe huduma za samba katika mfumo mzima kwa kutoa amri zilizo hapa chini.

$ sudo systemctl restart smbd nmbd winbind
$ sudo systemctl stop samba-ad-dc
$ sudo systemctl enable smbd nmbd winbind

9. Jiunge na mashine ya Ubuntu kwa Samba4 AD DC kwa kutoa amri ifuatayo. Tumia jina la akaunti ya AD DC iliyo na marupurupu ya msimamizi ili kushurutisha eneo kufanya kazi inavyotarajiwa.

$ sudo net ads join -U ad_admin_user

10. Kutoka kwa mashine ya Windows iliyo na zana za RSAT zilizosakinishwa unaweza kufungua AD UC na uende kwenye kontena la Kompyuta. Hapa, mashine yako iliyojumuishwa ya Ubuntu inapaswa kuorodheshwa.

Hatua ya 3: Sanidi Uthibitishaji wa Akaunti za AD

11. Ili kutekeleza uthibitishaji wa akaunti za AD kwenye mashine ya ndani, unahitaji kurekebisha baadhi ya huduma na faili kwenye mashine ya ndani.

Kwanza, fungua na uhariri faili ya usanidi ya The Name Service Switch (NSS).

$ sudo nano /etc/nsswitch.conf

Ifuatayo ongeza thamani ya winbind ya passwd na mistari ya kikundi kama inavyoonyeshwa kwenye dondoo hapa chini.

passwd:         compat winbind
group:          compat winbind

12. Ili kujaribu ikiwa mashine ya Ubuntu iliunganishwa kwa mafanikio kwa amri ya realm run wbinfo kuorodhesha akaunti na vikundi vya kikoa.

$ wbinfo -u
$ wbinfo -g

13. Pia, angalia moduli ya Winbind nsswitch kwa kutoa amri ya getent na bomba matokeo kupitia kichujio kama vile grep ili kupunguza matokeo kwa watumiaji au vikundi maalum vya kikoa.

$ sudo getent passwd| grep your_domain_user
$ sudo getent group|grep 'domain admins'

14. Ili kuthibitisha kwenye mashine ya Ubuntu yenye akaunti za kikoa unahitaji kutekeleza amri ya pam-auth-update na upendeleo wa mizizi na kuongeza maingizo yote yanayohitajika kwa huduma ya winbind na kuunda saraka za nyumbani kiotomatiki kwa kila akaunti ya kikoa wakati wa kuingia kwa mara ya kwanza.

Angalia maingizo yote kwa kubofya kitufe cha [space] na ubofye sawa ili kuweka usanidi.

$ sudo pam-auth-update

15. Kwenye mifumo ya Debian unahitaji kuhariri wewe mwenyewe /etc/pam.d/common-account faili na laini ifuatayo ili kuunda kiotomatiki nyumba kwa watumiaji wa kikoa walioidhinishwa.

session    required    pam_mkhomedir.so    skel=/etc/skel/    umask=0022

16. Ili watumiaji wa Active Directory waweze kubadilisha nenosiri kutoka kwa safu ya amri katika Linux fungua faili ya /etc/pam.d/common-password na uondoe kauli ya use_authtok kutoka kwa mstari wa nenosiri ili hatimaye ionekane kama kwenye dondoo lililo hapa chini.

password       [success=1 default=ignore]      pam_winbind.so try_first_pass

17. Ili kuthibitisha kwenye seva pangishi ya Ubuntu kwa kutumia akaunti ya Samba4 AD tumia kigezo cha jina la kikoa baada ya su - amri. Endesha id amri ili kupata maelezo ya ziada kuhusu akaunti ya AD.

$ su - your_ad_user

Tumia amri ya pwd kuona saraka ya sasa ya mtumiaji wa kikoa chako na amri ya passwd ikiwa unataka kubadilisha nenosiri.

18. Ili kutumia akaunti ya kikoa iliyo na haki za mizizi kwenye mashine yako ya Ubuntu, unahitaji kuongeza jina la mtumiaji la AD kwenye kikundi cha mfumo wa sudo kwa kutoa amri iliyo hapa chini:

$ sudo usermod -aG sudo your_domain_user

Ingia kwa Ubuntu ukitumia akaunti ya kikoa na usasishe mfumo wako kwa kutekeleza apt-get update amri ili kuangalia kama mtumiaji wa kikoa ana haki za mizizi.

19. Ili kuongeza upendeleo wa mizizi kwa kikundi cha kikoa, fungua faili ya kuhariri /etc/sudoers ukitumia amri ya visudo na uongeze laini ifuatayo kama inavyoonyeshwa kwenye picha ya skrini iliyo hapa chini.

%YOUR_DOMAIN\\your_domain\  group       		 ALL=(ALL:ALL) ALL

Tumia mikwaju ya nyuma ili kuepuka nafasi zilizomo katika jina la kikundi chako cha kikoa au kuepuka mikwaruzo ya kwanza. Katika mfano ulio hapo juu kikundi cha kikoa cha eneo la TECMINT kinaitwa \wasimamizi wa kikoa.

Alama ya asilimia iliyotangulia (%) ishara inaonyesha kwamba tunarejelea kikundi, si jina la mtumiaji.

20. Iwapo unatumia toleo la picha la Ubuntu na unataka kuingia kwenye mfumo na mtumiaji wa kikoa, unahitaji kurekebisha kidhibiti onyesho cha LightDM kwa kuhariri /usr/share/lightdm/lightdm.conf.d/50-ubuntu .conf, ongeza mistari ifuatayo na uwashe upya mashine ili kuonyesha mabadiliko.

greeter-show-manual-login=true
greeter-hide-users=true

Sasa inapaswa kuwa na uwezo wa kuingia kwenye Ubuntu Desktop kwa kutumia akaunti ya kikoa kwa kutumia your_domain_username au [email _domain.tld au your_domain\ your_domain_username umbizo.