Unganisha Ubuntu hadi Samba4 AD DC na SSSD na Realm - Sehemu ya 15

Mafunzo haya yatakuongoza jinsi ya kujiunga na mashine ya Ubuntu Desktop kwenye kikoa cha Samba4 Active Directory na huduma za SSSD na Realmd ili kuthibitisha watumiaji dhidi ya Saraka Inayotumika.

  1. Unda Muundo Amilifu wa Saraka ukitumia Samba4 kwenye Ubuntu

Hatua ya 1: Mipangilio ya Awali

1. Kabla ya kuanza kujiunga na Ubuntu kwenye Saraka Amilifu hakikisha jina la mpangishaji limesanidiwa ipasavyo. Tumia amri ya hostnamectl kuweka jina la mashine au kuhariri /etc/hostname faili mwenyewe.

$ sudo hostnamectl set-hostname your_machine_short_hostname
$ cat /etc/hostname
$ hostnamectl

2. Katika hatua inayofuata, hariri mipangilio ya kiolesura cha mtandao wa mashine na uongeze usanidi sahihi wa IP na anwani sahihi za seva ya DNS IP ili kuelekeza kwa kidhibiti cha kikoa cha Samba AD kama inavyoonyeshwa kwenye picha ya skrini iliyo hapa chini.

Ikiwa umesanidi seva ya DHCP kwenye eneo lako ili kugawa mipangilio ya IP kiotomatiki kwa mashine zako za LAN na anwani zinazofaa za AD DNS IP basi unaweza kuruka hatua hii na kusonga mbele.

Kwenye picha ya skrini iliyo hapo juu, 192.168.1.254 na 192.168.1.253 inawakilisha anwani za IP za Samba4 Domain Controllers.

3. Anzisha upya huduma za mtandao ili kutumia mabadiliko kwa kutumia GUI au kutoka kwa mstari wa amri na utoe mfululizo wa amri ya ping dhidi ya jina la kikoa chako ili kupima kama azimio la DNS linafanya kazi inavyotarajiwa. Pia, tumia amri ya mwenyeji ili kujaribu azimio la DNS.

$ sudo systemctl restart networking.service
$ host your_domain.tld
$ ping -c2 your_domain_name
$ ping -c2 adc1
$ ping -c2 adc2

4. Hatimaye, hakikisha kwamba muda wa mashine umesawazishwa na Samba4 AD. Sakinisha kifurushi cha ntpdate na wakati wa kusawazisha na AD kwa kutoa amri zilizo hapa chini.

$ sudo apt-get install ntpdate
$ sudo ntpdate your_domain_name

Hatua ya 2: Sakinisha Vifurushi Vinavyohitajika

5. Katika hatua hii sakinisha programu muhimu na vitegemezi vinavyohitajika ili kujiunga na Ubuntu katika huduma za Samba4 AD DC: Realmd na SSSD.

$ sudo apt install adcli realmd krb5-user samba-common-bin samba-libs samba-dsdb-modules sssd sssd-tools libnss-sss libpam-sss packagekit policykit-1

6. Ingiza jina la eneo chaguo-msingi kwa herufi kubwa na ubonyeze kitufe cha Ingiza ili kuendelea na usakinishaji.

7. Kisha, unda faili ya usanidi wa SSSD na maudhui yafuatayo.

$ sudo nano /etc/sssd/sssd.conf

Ongeza mistari ifuatayo kwenye faili ya sssd.conf.

[nss]
filter_groups = root
filter_users = root
reconnection_retries = 3

[pam]
reconnection_retries = 3

[sssd]
domains = tecmint.lan
config_file_version = 2
services = nss, pam
default_domain_suffix = TECMINT.LAN


[domain/tecmint.lan]
ad_domain = tecmint.lan
krb5_realm = TECMINT.LAN
realmd_tags = manages-system joined-with-samba
cache_credentials = True
id_provider = ad
krb5_store_password_if_offline = True
default_shell = /bin/bash
ldap_id_mapping = True
use_fully_qualified_names = True
fallback_homedir = /home/%d/%u
access_provider = ad

auth_provider = ad
chpass_provider = ad
access_provider = ad
ldap_schema = ad
dyndns_update = true
dyndns_refresh_interval = 43200
dyndns_update_ptr = true
dyndns_ttl = 3600

Hakikisha unabadilisha jina la kikoa katika vigezo vifuatavyo ipasavyo:

domains = tecmint.lan
default_domain_suffix = TECMINT.LAN
[domain/tecmint.lan]
ad_domain = tecmint.lan
krb5_realm = TECMINT.LAN

8. Kisha, ongeza ruhusa zinazofaa za faili ya SSSD kwa kutoa amri iliyo hapa chini:

$ sudo chmod 700 /etc/sssd/sssd.conf

9. Sasa, fungua na uhariri faili ya usanidi ya Realmd na uongeze mistari ifuatayo.

$ sudo nano /etc/realmd.conf

Dondoo la faili ya Realmd.conf:

[active-directory]
os-name = Linux Ubuntu
os-version = 17.04

[service]
automatic-install = yes

 [users]
default-home = /home/%d/%u
default-shell = /bin/bash

[tecmint.lan]
user-principal = yes
fully-qualified-names = no

10. Faili ya mwisho unayohitaji kurekebisha ni ya Samba daemon. Fungua faili /etc/samba/smb.conf ili kuhaririwa na uongeze kizuizi kifuatacho cha msimbo mwanzoni mwa faili, baada ya sehemu ya [kimataifa] kama inavyoonyeshwa kwenye picha hapa chini.

 workgroup = TECMINT
   client signing = yes
   client use spnego = yes
   kerberos method = secrets and keytab
   realm = TECMINT.LAN
   security = ads

Hakikisha unabadilisha thamani ya jina la kikoa, hasa thamani ya eneo ili kufanana na jina la kikoa chako na utekeleze amri ya testparm ili kuangalia ikiwa faili ya usanidi haina makosa.

$ sudo testparm

11. Baada ya kufanya mabadiliko yote yanayohitajika, jaribu uthibitishaji wa Kerberos ukitumia akaunti ya usimamizi ya AD na uorodheshe tikiti kwa kutoa amri zilizo hapa chini.

$ sudo kinit [email 
$ sudo klist

Hatua ya 3: Jiunge na Ubuntu hadi Samba4 Realm

12. Kujiunga na mashine ya Ubuntu kwa toleo la Samba4 Active Directory kufuatia mfululizo wa amri kama inavyoonyeshwa hapa chini. Tumia jina la akaunti ya AD DC iliyo na marupurupu ya msimamizi ili kipengele cha kuunganisha kwenye eneo kifanye kazi inavyotarajiwa na ubadilishe thamani ya jina la kikoa ipasavyo.

$ sudo realm discover -v DOMAIN.TLD
$ sudo realm list
$ sudo realm join TECMINT.LAN -U ad_admin_user -v
$ sudo net ads join -k

13. Baada ya kufunga kikoa kufanyika, endesha amri iliyo hapa chini ili kuhakikisha kwamba akaunti zote za kikoa zinaruhusiwa kuthibitisha kwenye mashine.

$ sudo realm permit --all

Baadaye, unaweza kuruhusu au kukataa ufikiaji wa akaunti ya mtumiaji wa kikoa au kikundi kinachotumia amri ya realm kama inavyowasilishwa kwenye mifano iliyo hapa chini.

$ sudo realm deny -a
$ realm permit --groups ‘domain.tld\Linux Admins’
$ realm permit [email 
$ realm permit DOMAIN\\User2

14. Kutoka kwa mashine ya Windows iliyo na zana za RSAT zilizosakinishwa unaweza kufungua AD UC na uende kwenye kontena la Kompyuta na uangalie ikiwa akaunti ya kitu iliyo na jina la mashine yako imeundwa.

Hatua ya 4: Sanidi Uthibitishaji wa Akaunti za AD

15. Ili kuthibitisha kwenye mashine ya Ubuntu yenye akaunti za kikoa unahitaji kutekeleza amri ya pam-auth-update na upendeleo wa mizizi na kuwezesha wasifu wote wa PAM ikijumuisha chaguo la kuunda saraka za nyumbani kiotomatiki kwa kila akaunti ya kikoa wakati wa kuingia kwa mara ya kwanza.

Angalia maingizo yote kwa kubofya kitufe cha [nafasi] na ubofye sawa ili kuweka usanidi.

$ sudo pam-auth-update

16. Kwenye mifumo hariri mwenyewe /etc/pam.d/common-account faili na laini ifuatayo ili kuunda kiotomatiki nyumba kwa watumiaji wa kikoa walioidhinishwa.

session    required    pam_mkhomedir.so    skel=/etc/skel/    umask=0022

17. Ikiwa watumiaji wa Active Directory hawawezi kubadilisha nenosiri lao kutoka kwa safu ya amri katika Linux, fungua faili ya /etc/pam.d/common-password na uondoe use_authtok taarifa kutoka kwa mstari wa nenosiri ili hatimaye ionekane kama kwenye dondoo lililo hapa chini.

password       [success=1 default=ignore]      pam_winbind.so try_first_pass

18. Hatimaye, anzisha upya na uwashe huduma ya Realmd na SSSD kutekeleza mabadiliko kwa kutoa amri zilizo hapa chini:

$ sudo systemctl restart realmd sssd
$ sudo systemctl enable realmd sssd

19. Ili kujaribu ikiwa mashine ya Ubuntu iliunganishwa kwa mafanikio kwenye realm run install winbind package na endesha amri ya wbinfo ili kuorodhesha akaunti na vikundi vya kikoa kama inavyoonyeshwa hapa chini.

$ sudo apt-get install winbind
$ wbinfo -u
$ wbinfo -g

20. Pia, angalia moduli ya Winbind nsswitch kwa kutoa amri ya getent dhidi ya mtumiaji au kikundi fulani cha kikoa.

$ sudo getent passwd your_domain_user
$ sudo getent group ‘domain admins’

21. Unaweza pia kutumia amri ya kitambulisho cha Linux kupata maelezo kuhusu akaunti ya AD kama inavyoonyeshwa kwenye amri iliyo hapa chini.

$ id tecmint_user

22. Ili kuthibitisha kwenye seva pangishi ya Ubuntu kwa kutumia akaunti ya Samba4 AD tumia kigezo cha jina la kikoa baada ya su - amri. Endesha id amri ili kupata maelezo ya ziada kuhusu akaunti ya AD.

$ su - your_ad_user

Tumia pwd amri kuona saraka ya kazi ya mtumiaji wa kikoa chako na amri ya passwd ikiwa unataka kubadilisha nenosiri.

23. Ili kutumia akaunti ya kikoa iliyo na haki za mizizi kwenye mashine yako ya Ubuntu, unahitaji kuongeza jina la mtumiaji la AD kwenye kikundi cha mfumo wa sudo kwa kutoa amri iliyo hapa chini:

$ sudo usermod -aG sudo [email 

Ingia kwa Ubuntu ukitumia akaunti ya kikoa na usasishe mfumo wako kwa kutekeleza apt update amri ili kuangalia haki za mizizi.

24. Ili kuongeza upendeleo wa mizizi kwa kikundi cha kikoa, fungua faili ya kuhariri /etc/sudoers ukitumia amri ya visudo na uongeze laini ifuatayo kama inavyoonyeshwa.

%domain\ [email        		 ALL=(ALL:ALL) ALL

25. Kutumia uthibitishaji wa akaunti ya kikoa kwa Ubuntu Desktop rekebisha kidhibiti onyesho cha LightDM kwa kuhariri /usr/share/lightdm/lightdm.conf.d/50-ubuntu.conf faili, weka mistari miwili ifuatayo na uanze upya huduma ya lightdm au washa upya mashine kuomba. mabadiliko.

greeter-show-manual-login=true
greeter-hide-users=true

Ingia kwenye Ubuntu Desktop ukitumia akaunti ya kikoa kwa kutumia your_domain_username au [email _domain.tld syntax.

26. Ili kutumia umbizo la jina fupi kwa akaunti za Samba AD, hariri /etc/sssd/sssd.conf faili, ongeza laini ifuatayo katika kizuizi cha [sssd] kama inavyoonyeshwa hapa chini.

full_name_format = %1$s

na uanzishe tena daemon ya SSSD ili kutumia mabadiliko.

$ sudo systemctl restart sssd

Utagundua kuwa kidokezo cha bash kitabadilika hadi jina fupi la mtumiaji wa AD bila kuambatanisha jina la kikoa.

27. Ikiwa huwezi kuingia kwa sababu ya enumerate=true argument iliyowekwa katika sssd.conf lazima ufute hifadhidata iliyohifadhiwa ya sssd kwa kutoa amri ifuatayo:

$ rm /var/lib/sss/db/cache_tecmint.lan.ldb

Ni hayo tu! Ingawa mwongozo huu unalenga zaidi kuunganishwa na Saraka Inayotumika ya Samba4, hatua zile zile zinaweza kutumika ili kuunganisha Ubuntu na huduma za Realmd na SSSD kwenye Saraka ya Microsoft Windows Server Active.