Ez az oktatóanyag leírja, hogyan lehet Ubuntu gépet a Samba4 Active Directory domain a hitelesítés érdekében HIRDETÉS számlák a helyieknél ACL fájlokhoz és könyvtárakhoz, vagy kötetmegosztások létrehozásához és leképezéséhez tartományvezérlő felhasználók számára (fájlszerverként).
1. Mielőtt elkezdené csatlakozni egy Ubuntu befogadja egy Active Directory DC meg kell győződnie arról, hogy egyes szolgáltatások megfelelően vannak konfigurálva a helyi gépen.
A gép fontos eleme a hostname. Állítsa be a megfelelő gépnevet, mielőtt a domainhez csatlakozik a hostnamectl paranccsal vagy kézi szerkesztéssel /etc/hostname fájlt.
# hostnamectl set-hostname your_machine_short_name. # cat /etc /hostname. # hostnamectl.
2. A következő lépésben nyissa meg és manuálisan szerkessze a gép hálózati beállításait a megfelelő IP -konfigurációkkal. A legfontosabb beállítások itt a DNS IP -címek, amelyek a tartományvezérlőre mutatnak vissza.
Szerkesztés /etc/network/interfaces fájlt és add hozzá dns-névszerverek nyilatkozatot a megfelelő AD IP -címekkel és tartománynévvel, az alábbi képernyőképen látható módon.
Győződjön meg arról is, hogy ugyanazokat a DNS IP -címeket és a tartománynevet adja hozzá /etc/resolv.conf fájlt.
A fenti képernyőképen 192.168.1.254 és 192.168.1.253 a IP -címei Samba4 AD DC és Tecmint.lan az AD tartomány nevét jelöli, amelyet a tartományba integrált összes gép lekérdez.
3. Indítsa újra a hálózati szolgáltatásokat, vagy indítsa újra a gépet az új hálózati konfigurációk alkalmazásához. Szám a ping parancsot a tartománynév ellen, hogy ellenőrizze, hogy a DNS -feloldás a várt módon működik -e.
Az AD DC újra kell játszania az FQDN -jével. Ha a hálózatában beállított egy DHCP -kiszolgálót, hogy automatikusan hozzárendelje az IP -beállításokat a LAN -gazdagépekhez, győződjön meg arról, hogy hozzáadott AD DC IP -címeket a DHCP -kiszolgáló DNS -konfigurációihoz.
# systemctl indítsa újra a networking.service szolgáltatást. # ping -c2 your_domain_name.
4. Az utolsó szükséges konfigurációt az idő szinkronizálása jelzi. Telepítés ntpdate csomag, lekérdezés és szinkronizálási idő a AD DC az alábbi parancsok kiadásával.
$ sudo apt-get install ntpdate. $ sudo ntpdate -q a_domain_neve. $ sudo ntpdate your_domain_name.
5. A következő lépésben telepítse az Ubuntu géphez szükséges szoftvert, hogy teljes mértékben integrálódjon a tartományba az alábbi parancs futtatásával.
$ sudo apt-get install samba krb5-config krb5-user winbind libpam-winbind libnss-winbind.
A Kerberos csomagok telepítése közben meg kell adnia az alapértelmezett tartomány nevét. Használja a domain nevét nagybetűkkel, és nyomja meg a gombot Belép gombot a telepítés folytatásához.
6. Miután minden csomag telepítése befejeződött, tesztelje Kerberos hitelesítést AD adminisztrátori fiók ellen, és sorolja fel a jegyet az alábbi parancsok kiadásával.
# kinit ad_admin_user. # klist.
7. Az első lépés az Ubuntu gép integrálása a Samba4 Active Directory domain a Samba konfigurációs fájl szerkesztése.
Készítsen biztonsági másolatot a Samba alapértelmezett konfigurációs fájljáról, amelyet a csomagkezelő biztosított, hogy tiszta konfigurációval kezdje a következő parancsok futtatásával.
# mv /etc/samba/smb.conf /etc/samba/smb.conf.initial. # nano /etc/samba/smb.conf.
Az új Samba konfigurációs fájlban adja hozzá az alábbi sorokat:
[globális] workgroup = TECMINT tartomány = TECMINT.LAN netbios név = ubuntu security = ADS dns forwarder = 192.168.1.1 idmap config *: backend = tdb idmap config *: range = 50000-1000000 template homedir =/home/%D/%U template shell =/bin/bash winbind default domain = true winbind offline bejelentkezés = hamis winbind nss info = rfc2307 winbind enum users = igen winbind enum groups = igen vfs objektumok = acl_xattr map acl örököl = Igen tárolja a dos attribútumok = Igen.
Cserélje ki munkacsoport, birodalom, netbios név és dns szállítmányozó változók saját egyéni beállításokkal.
Az A winbind alapértelmezett tartományt használ paraméter okai winbind szolgáltatás, amely minden minősítés nélküli AD felhasználónevet az AD felhasználóként kezel. Ezt a paramétert ki kell hagynia, ha a helyi rendszerfiókok nevei átfedik az AD -fiókokat.
8. Most indítsa újra az összes samba démont, és állítsa le és távolítsa el a szükségtelen szolgáltatásokat, és engedélyezze a samba szolgáltatásokat az egész rendszerre az alábbi parancsok kiadásával.
$ sudo systemctl indítsa újra az smbd nmbd winbind fájlt. $ sudo systemctl állítsa le a samba-ad-dc parancsot. $ sudo systemctl engedélyezi az smbd nmbd winbind szolgáltatást.
9. Csatlakozzon az Ubuntu géphez Samba4 AD DC a következő parancs kiadásával. Használja a rendszergazdai jogosultságokkal rendelkező AD DC -fiók nevét, hogy a tartományhoz való kötés a várt módon működjön.
$ sudo net hirdetések csatlakoznak -U ad_admin_user.
10. A -tól Windows gép RSAT eszközökkel telepítve kinyithatod AD UC és navigáljon a Számítógépek tartály. Itt fel kell tüntetni az Ubuntuhoz csatlakozott gépét.
11. Az AD -fiókok hitelesítésének végrehajtásához a helyi gépen módosítania kell néhány szolgáltatást és fájlt a helyi gépen.
Először nyissa meg és szerkessze A névszolgáltatás kapcsolója (NSS) konfigurációs fájl.
$ sudo nano /etc/nsswitch.conf.
Ezután csatolja a winbind értékét a passwd és a csoport sorokhoz, amint az az alábbi részletben látható.
passwd: compat winbind. csoport: compat winbind.
12. Annak tesztelése érdekében, hogy az Ubuntu gépet sikeresen integrálták -e a tartomány futtatásához wbinfo parancs a tartományi fiókok és csoportok listázásához.
$ wbinfo -u. $ wbinfo -g.
13. Ezenkívül ellenőrizze a Winbind nsswitch modult a getent parancsolja és vezesse az eredményeket egy szűrőn keresztül, mint pl grep a kimenet szűkítése csak bizonyos tartományi felhasználók vagy csoportok számára.
$ sudo getent passwd | grep your_domain_user. $ sudo getent csoport | grep 'domain admins'
14. Ahhoz, hogy az Ubuntu gépen domain -fiókokkal hitelesíthessen, futtatnia kell pam-auth-update parancsot root jogosultságokkal, és adja hozzá a winbind szolgáltatáshoz szükséges összes bejegyzést, és automatikusan hozzon létre otthoni könyvtárakat minden tartományfiókhoz az első bejelentkezéskor.
A gomb megnyomásával ellenőrizze az összes bejegyzést [hely]
kulcs és ütés rendben konfiguráció alkalmazására.
$ sudo pam-auth-update.
15. Debian rendszereken manuálisan kell szerkeszteni /etc/pam.d/common-account fájlt és a következő sort annak érdekében, hogy automatikusan létrehozzanak otthonokat a hitelesített tartományi felhasználók számára.
munkamenet szükséges pam_mkhomedir.so skel =/etc/skel/umask = 0022.
16. Annak érdekében, hogy Active Directory a felhasználók meg tudják változtatni a jelszót a parancssorból a Linux megnyitásakor /etc/pam.d/common-password fájlt, és távolítsa el a use_authtok utasítás a jelszavas sorból, hogy végül úgy nézzen ki, mint az alábbi részletben.
jelszó [siker = 1 alapértelmezett = figyelmen kívül hagyás] pam_winbind.so try_first_pass.
17. Az Ubuntu gazdagépen való hitelesítéshez Samba4 AD fiókkal használja a tartomány felhasználónév paramétert a su - parancs után. Futtassa az id parancsot, ha további információkat szeretne kapni az AD -fiókról.
$ su - a te_ad_user.
Használat pwd parancs a jelszó megváltoztatásához látni szeretné a domain felhasználó jelenlegi könyvtárát és a passwd parancsot.
18. Ha root jogosultságokkal rendelkező tartományfiókot szeretne használni az Ubuntu gépen, akkor az alábbi parancs kiadásával hozzá kell adnia az AD felhasználónevet a sudo rendszercsoporthoz:
$ sudo usermod -aG sudo your_domain_user.
Jelentkezzen be az Ubuntuba a domainfiókkal, és futtassa a rendszert apt-get frissítés paranccsal ellenőrizheti, hogy a domain felhasználó rendelkezik -e root jogosultságokkal.
19. Ha root jogosultságokat szeretne hozzáadni egy tartománycsoporthoz, nyissa meg a végső szerkesztést /etc/sudoers fájl használatával visudo parancsot, és adja hozzá a következő sort az alábbi képernyőképen látható módon.
%YOUR_DOMAIN \\ your_domain \ group ALL = (ALL: ALL) ALL.
Használjon fordított perjeleket, hogy elkerülje a tartománycsoport nevében található szóközöket, vagy az első fordított perjelet. A fenti példában a domain csoport a TECMINT birodalom neve "domain rendszergazdái”.
Az előző százalékjel (%)
szimbólum azt jelzi, hogy egy csoportra utalunk, nem egy felhasználónévre.
20. Ha az Ubuntu grafikus verzióját futtatja, és tartományi felhasználóval szeretne bejelentkezni a rendszerbe, módosítsa a LightDM kijelzőkezelőt a szerkesztéssel /usr/share/lightdm/lightdm.conf.d/50-ubuntu.conf fájlt, adja hozzá a következő sorokat, és indítsa újra a gépet, hogy tükrözze a változásokat.
greeter-show-manual-login = igaz. greeter-hide-users = igaz.
Mostantól képesnek kell lennie arra, hogy bejelentkezzen az Ubuntu Desktopon egy domainfiókkal bármelyik használatával your_domain_username vagy [e -mail védett]_domain.tld vagy your_domain \ your_domain_username formátum.