Questo tutorial ti guiderà su come unirti a un Ubuntu Desktop macchina in a Samba4 Active Directory dominio con SSSD e regno servizi per autenticare gli utenti rispetto a un Active Directory.
1. Prima di iniziare ad entrare in Ubuntu in una Active Directory, assicurati che il nome host sia configurato correttamente. Utilizzo hostnamectl comando per impostare il nome della macchina o modificarlo manualmente /etc/hostname file.
$ sudo hostnamectl set-hostname your_machine_short_hostname. $ cat /etc/nomehost. $ hostnamectl.
2. Nel passaggio successivo, modificare le impostazioni dell'interfaccia di rete della macchina e aggiungere le configurazioni IP corrette e il indirizzi del server IP DNS corretti in modo che puntino al controller di dominio Samba AD come illustrato di seguito immagine dello schermo.
Se hai configurato un server DHCP presso la tua sede per assegnare automaticamente le impostazioni IP per le tue macchine LAN con gli indirizzi IP AD DNS corretti, puoi saltare questo passaggio e andare avanti.
Nella schermata sopra, 192.168.1.254 e 192.168.1.253 rappresenta gli indirizzi IP dei controller di dominio Samba4.
3. Riavviare i servizi di rete per applicare le modifiche utilizzando la GUI o dalla riga di comando ed emettere una serie di comando ping sul tuo nome di dominio per verificare se la risoluzione DNS funziona come previsto. Inoltre, usa ospite comando per testare la risoluzione DNS.
$ sudo systemctl riavvia networking.service. $ host tuo_dominio.tld. $ ping -c2 tuo_nome_dominio. $ ping -c2 adc1. $ ping -c2 adc2.
4. Infine, assicurati che l'ora della macchina sia sincronizzata con Samba4 AD. Installare ntpdate pacchetto e sincronizzare l'ora con AD emettendo i comandi seguenti.
$ sudo apt-get install ntpdate. $ sudo ntpdate nome_dominio.
5. In questo passaggio installa il software necessario e le dipendenze richieste per unire Ubuntu in Samba4 AD DC: regno e SSSD Servizi.
$ sudo apt install adcli realmd krb5-user samba-common-bin samba-libs samba-dsdb-modules sssd sssd-tools libnss-sss libpam-sss packagekit policykit-1
6. Immettere il nome del regno predefinito con lettere maiuscole e premere accedere chiave per continuare l'installazione.
7. Quindi, crea il SSSD file di configurazione con il seguente contenuto.
$ sudo nano /etc/sssd/sssd.conf.
Aggiungi le seguenti righe a sssd.conf file.
[ns] filter_groups = root. filter_users = root. reconnection_retries = 3 [pam] reconnection_retries = 3 [sssd] domini = tecmint.lan. config_file_version = 2. servizi = nss, pam. default_domain_suffix = TECMINT.LAN [dominio/tecmint.lan] ad_domain = tecmint.lan. krb5_realm = TECMINT.LAN. realmd_tags = gestisce il sistema unito a samba. cache_credentials = Vero. id_provider = annuncio. krb5_store_password_if_offline = Vero. default_shell = /bin/bash. ldap_id_mapping = Vero. use_fully_qualified_names = Vero. fallback_homedir = /home/%d/%u. access_provider = annuncio auth_provider = annuncio. chpass_provider = ad. access_provider = annuncio. ldap_schema = ad. dyndns_update = vero. dyndns_refresh_interval = 43200. dyndns_update_ptr = vero. dyndns_ttl = 3600.
Assicurati di sostituire il nome di dominio nei seguenti parametri di conseguenza:
domini = tecmint.lan. default_domain_suffix = TECMINT.LAN. [dominio/tecmint.lan] ad_domain = tecmint.lan. krb5_realm = TECMINT.LAN.
8. Quindi, aggiungi le autorizzazioni appropriate per il file SSSD emettendo il comando seguente:
$ sudo chmod 700 /etc/sssd/sssd.conf.
9. Ora apri e modifica regno file di configurazione e aggiungere le seguenti righe.
$ sudo nano /etc/realmd.conf.
Realmd.conf estratto del file:
[directory-attiva] os-name = Linux Ubuntu. os-versione = 17.04 [servizio] installazione automatica = sì [utenti] default-home = /home/%d/%u. default-shell = /bin/bash [tecmint.lan] utente-principale = sì. nomi-completi = no.
10. L'ultimo file che devi modificare appartiene al demone Samba. Aprire /etc/samba/smb.conf file per la modifica e aggiungere il seguente blocco di codice all'inizio del file, dopo il [globale] sezione come illustrato nell'immagine sottostante.
workgroup = TECMINT client signing = yes client use spnego = yes kerberos method = segreti e keytab realm = TECMINT.LAN security = ads.
Assicurati di sostituire il nome del dominio valore, in particolare il valore del regno per abbinare il tuo nome di dominio ed eseguire testparm comando per verificare se il file di configurazione non contiene errori.
$ sudo testparm.
11. Dopo aver apportato tutte le modifiche richieste, testare l'autenticazione Kerberos utilizzando un account amministrativo AD ed elencare il ticket emettendo i comandi seguenti.
$ sudo kinit [e-mail protetta]
$ sudo klist.
12. Per unire la macchina Ubuntu al problema di Active Directory di Samba4 seguendo una serie di comandi come illustrato di seguito. Utilizzare il nome di un account AD DC con privilegi di amministratore affinché l'associazione al realm funzioni come previsto e sostituire di conseguenza il valore del nome di dominio.
$ sudo realm discover -v DOMAIN.TLD. $ elenco di domini sudo. $ sudo realm join TECMINT.LAN -U ad_admin_user -v. $ sudo net ads join -k.
13. Dopo aver eseguito l'associazione del dominio, eseguire il comando seguente per assicurarsi che tutti gli account di dominio siano autorizzati ad autenticarsi sulla macchina.
$ sudo realm permit --all.
Successivamente, puoi consentire o negare l'accesso per un account utente di dominio o un gruppo utilizzando il comando realm come illustrato negli esempi seguenti.
$ sudo realm nega -a. $ realm allow --groups 'domain.tld\Linux Admins' $ permesso di regno[e-mail protetta]
$ dominio permesso DOMINIO\\Utente2.
14. Da una macchina Windows con Strumenti RSAT installati puoi aprire AD UC e vai a Computer container e controlla se è stato creato un account oggetto con il nome della tua macchina.
15. Per autenticarsi su una macchina Ubuntu con account di dominio è necessario eseguire pam-auth-update comando con privilegi di root e abilita tutti i profili PAM inclusa l'opzione per creare automaticamente le home directory per ogni account di dominio al primo accesso.
Controllare tutte le voci premendo [spazio] tasto e premi ok per applicare la configurazione.
$ sudo pam-auth-update.
16. Sui sistemi modifica manualmente /etc/pam.d/common-account file e la riga successiva per creare automaticamente le case per gli utenti di dominio autenticati.
sessione richiesta pam_mkhomedir.so skel=/etc/skel/umask=0022.
17. Se gli utenti di Active Directory non possono modificare la password dalla riga di comando in Linux, apri /etc/pam.d/common-password file e rimuovere il use_authtok dichiarazione dalla riga della password per guardare finalmente come nell'estratto seguente.
password [success=1 default=ignore] pam_winbind.so try_first_pass.
18. Infine, riavvia e abilita il servizio Realmd e SSSD per applicare le modifiche emettendo i comandi seguenti:
$ sudo systemctl riavvia realmd sssd. $ sudo systemctl abilita realmd sssd.
19. Per verificare se la macchina Ubuntu è stata integrata con successo in realm run, installa il pacchetto winbind ed esegui wbinfo comando per elencare account e gruppi di dominio come illustrato di seguito.
$ sudo apt-get install winbind. $ wbinfo -u. $ wbinfo -g.
20. Inoltre, controlla il modulo Winbind nsswitch emettendo il getente comando contro un utente o un gruppo di dominio specifico.
$ sudo getent passwd your_domain_user. $ sudo getent group 'domain admins'
21. Puoi anche usare Linux ID comando per ottenere informazioni su un account AD come illustrato nel comando seguente.
$ id tecmint_user.
22. Per autenticarsi su un host Ubuntu con un account Samba4 AD, utilizzare il parametro del nome utente del dominio dopo su – comando. Correre ID comando per ottenere informazioni aggiuntive sull'account AD.
$ su - tuo_utente_annuncio.
Utilizzo pwd comando per vedere la directory di lavoro corrente dell'utente del dominio e il comando passwd se si desidera modificare la password.
23. Per utilizzare un account di dominio con privilegi di root sulla tua macchina Ubuntu, devi aggiungere il nome utente AD al gruppo di sistema sudo emettendo il comando seguente:
$ sudo usermod -aG sudo [e-mail protetta]
Accedi a Ubuntu con l'account di dominio e aggiorna il tuo sistema eseguendo apt aggiornamento comando per verificare i privilegi di root.
24. Per aggiungere i privilegi di root per un gruppo di domini, apri la modifica finale /etc/sudoers file usando visudo comando e aggiungere la riga seguente come illustrato.
%dominio\ [e-mail protetta] TUTTO=(TUTTO: TUTTO) TUTTO.
25. Per utilizzare l'autenticazione dell'account di dominio per Ubuntu Desktop modificare LightDM display manager modificando /usr/share/lightdm/lightdm.conf.d/50-ubuntu.conf file, aggiungere le due righe seguenti e riavviare il servizio lightdm o riavviare la macchina e applicare le modifiche.
greeter-show-manual-login=true. greeter-hide-users=true.
Accedi a Ubuntu Desktop con un account di dominio utilizzando uno dei due tuo_dominio_nomeutente o [e-mail protetta]_dominio.tld sintassi.
26. Per utilizzare il formato del nome breve per gli account Samba AD, modifica /etc/sssd/sssd.conf file, aggiungi la seguente riga in [ssd] blocco come illustrato di seguito.
full_name_format = %1$s.
e riavvia il demone SSSD per applicare le modifiche.
$ sudo systemctl riavvia sssd.
Noterai che il prompt bash cambierà nel nome breve dell'utente AD senza aggiungere la controparte del nome di dominio.
27. Nel caso in cui non sia possibile accedere a causa di enumera = vero argomento impostato in sssd.conf è necessario cancellare il database memorizzato nella cache sssd emettendo il comando seguente:
$ rm /var/lib/sss/db/cache_tecmint.lan.ldb.
È tutto! Sebbene questa guida sia principalmente focalizzata sull'integrazione con un Samba4 Active Directory, gli stessi passaggi possono essere applicato per integrare Ubuntu con i servizi Realmd e SSSD in un Microsoft Windows Server Active Elenco.