Šajā apmācībā ir aprakstīts, kā pievienoties Ubuntu mašīnai a Samba4 Active Directory domēnu, lai autentificētos AD konti vietējos ACL failiem un direktorijiem vai lai izveidotu un kartētu apjoma koplietojumus domēna kontrollera lietotājiem (darbojas kā failu serveris).
1. Pirms sākat pievienoties an Ubuntu uzņemt a Active Directory DC jums jāpārliecinās, ka daži pakalpojumi ir pareizi konfigurēti vietējā datorā.
Svarīgs jūsu mašīnas aspekts ir saimniekdatora nosaukums. Iestatiet pareizu mašīnas nosaukumu pirms pievienošanās domēnam, izmantojot saimniekdatora nosaukums komandu vai manuāli rediģējot /etc/hostname failu.
# hostnamectl set-hostname your_machine_short_name. # kaķis /etc /hostname. # hostnamectl.
2. Nākamajā solī atveriet un manuāli rediģējiet iekārtas tīkla iestatījumus, izmantojot pareizās IP konfigurācijas. Vissvarīgākie iestatījumi šeit ir DNS IP adreses, kas norāda uz jūsu domēna kontrolieri.
Rediģēt /etc/network/interfaces failu un pievienot DNS vārda serveri paziņojumu ar atbilstošām AD IP adresēm un domēna nosaukumu, kā parādīts zemāk esošajā ekrānuzņēmumā.
Tāpat pārliecinieties, vai ir pievienotas vienas un tās pašas DNS IP adreses un domēna nosaukums /etc/resolv.conf failu.
Iepriekš redzamajā ekrānuzņēmumā 192.168.1.254 un 192.168.1.253 ir IP adreses Samba4 AD DC un Tecmint.lan apzīmē AD domēna nosaukumu, kuru vaicās visas mašīnas, kas integrētas valstībā.
3. Restartējiet tīkla pakalpojumus vai restartējiet iekārtu, lai lietotu jaunās tīkla konfigurācijas. Jautājums a ping komandu pret savu domēna nosaukumu, lai pārbaudītu, vai DNS izšķirtspēja darbojas, kā paredzēts.
AD DC vajadzētu atkārtot ar savu FQDN. Ja savā tīklā esat konfigurējis DHCP serveri, lai automātiski piešķirtu IP iestatījumus jūsu LAN saimniekiem, noteikti pievienojiet AD DC IP adreses DHCP servera DNS konfigurācijām.
# systemctl restartējiet networking.service. # ping -c2 jūsu_domēna_vārds.
4. Pēdējo svarīgo nepieciešamo konfigurāciju attēlo laika sinhronizācija. Uzstādīt ntpdate pakotnes, vaicājuma un sinhronizācijas laiks ar AD DC izdodot tālāk norādītās komandas.
$ sudo apt-get install ntpdate. $ sudo ntpdate -q jūsu_domēna_nosaukums. $ sudo ntpdate your_domain_name.
5. Nākamajā solī instalējiet programmatūru, kas nepieciešama Ubuntu mašīnai, lai tā būtu pilnībā integrēta domēnā, palaižot zemāk esošo komandu.
$ sudo apt-get install samba krb5-config krb5-user winbind libpam-winbind libnss-winbind.
Kamēr Kerberos pakotnes tiek instalētas, jums vajadzētu lūgt ievadīt noklusējuma apgabala nosaukumu. Izmantojiet sava domēna nosaukumu ar lielajiem burtiem un nospiediet Ievadiet taustiņu, lai turpinātu instalēšanu.
6. Pēc visu pakotņu instalēšanas pabeigšanas pārbaudiet Kerberos autentifikāciju pret AD administratīvo kontu un uzskaitiet biļeti, izdodot tālāk norādītās komandas.
# kinit ad_admin_user. # klists.
7. Pirmais solis, lai integrētu Ubuntu mašīnu Samba4 Active Directory domēns ir rediģēt Samba konfigurācijas failu.
Dublējiet pakotņu pārvaldnieka nodrošināto Samba noklusējuma konfigurācijas failu, lai sāktu tīru konfigurāciju, izpildot šādas komandas.
# mv /etc/samba/smb.conf /etc/samba/smb.conf.initial. # nano /etc/samba/smb.conf.
Jaunajā Samba konfigurācijas failā pievienojiet šādas rindas:
[globāls] workgroup = TECMINT realm = TECMINT.LAN netbios nosaukums = ubuntu security = ADS dns forwarder = 192.168.1.1 idmap config *: backend = tdb idmap config *: diapazons = 50000-1000000 veidne homedir =/home/%D/%U veidnes apvalks =/bin/bash winbind izmantot noklusējuma domēnu = true winbind offline login nepatiesa winbind nss info = rfc2307 winbind enum lietotāji = jā winbind enum groups = jā vfs objekti = acl_xattr karte acl mantojums = Jā veikals atribūti = Jā.
Aizvietot darba grupa, valstība, netbios nosaukums un dns ekspeditors mainīgie ar saviem pielāgotajiem iestatījumiem.
winbind izmantot noklusējuma domēnu parametru cēloņi winbind pakalpojums, lai visus nekvalificētos AD lietotājvārdus uzskatītu par AD lietotājiem. Šis parametrs jāizlaiž, ja vietējo sistēmas kontu nosaukumi pārklājas ar AD kontiem.
8. Tagad jums vajadzētu restartēt visus samba dēmonus un apturēt un noņemt nevajadzīgos pakalpojumus un iespējot samba pakalpojumus visā sistēmā, izdodot tālāk norādītās komandas.
$ sudo systemctl restartējiet smbd nmbd winbind. $ sudo systemctl apturēt samba-ad-dc. $ sudo systemctl iespējot smbd nmbd winbind.
9. Pievienojieties Ubuntu mašīnai Samba4 AD DC izdodot šādu komandu. Izmantojiet AD DC konta nosaukumu ar administratora privilēģijām, lai saistīšana ar valstību darbotos, kā paredzēts.
$ sudo tīkla reklāmas pievienojas -U ad_admin_user.
10. No a Windows mašīna ar instalētiem RSAT rīkiem jūs varat atvērt AD UC un dodieties uz Datori konteiners. Šeit ir jāuzskaita jūsu Ubuntu pievienotā mašīna.
11. Lai vietējā datorā veiktu AD kontu autentifikāciju, jums ir jāpārveido daži pakalpojumi un faili lokālajā datorā.
Pirmkārt, atveriet un rediģējiet Nosaukuma pakalpojuma slēdzis (NSS) konfigurācijas failu.
$ sudo nano /etc/nsswitch.conf.
Tālāk pievienojiet winbind vērtību passwd un grupas līnijām, kā parādīts zemāk esošajā fragmentā.
passwd: compat winbind. grupa: compat winbind.
12. Lai pārbaudītu, vai Ubuntu mašīna ir veiksmīgi integrēta darbībā wbinfo komandu, lai uzskaitītu domēna kontus un grupas.
$ wbinfo -u. $ wbinfo -g.
13. Pārbaudiet arī Winbind nsswitch moduli, izsniedzot nokļuvis komandējiet un ievadiet rezultātus caur filtru, piemēram, grep lai sašaurinātu izvadi tikai konkrētiem domēna lietotājiem vai grupām.
$ sudo getent passwd | grep your_domain_user. $ sudo getent grupa | grep 'domēna administratori'
14. Lai autentificētos Ubuntu datorā ar domēna kontiem, jums tas jāpalaiž pam-auth-update komandu ar saknes privilēģijām un pievienot visus ierakstus, kas nepieciešami Winbind pakalpojumam, un automātiski izveidot mājas direktorijus katram domēna kontam pirmajā pieteikšanās reizē.
Pārbaudiet visus ierakstus, nospiežot [atstarpe]
taustiņu un sit labi lai lietotu konfigurāciju.
$ sudo pam-auth-update.
15. Debian sistēmās jums ir jārediģē manuāli /etc/pam.d/common-account failu un šo rindiņu, lai automātiski izveidotu mājas autentificētiem domēna lietotājiem.
nepieciešama sesija pam_mkhomedir.so skel =/etc/skel/umask = 0022.
16. Lai Active Directory lai lietotāji varētu mainīt paroli no komandrindas Linux atvērts /etc/pam.d/common-password failu un noņemiet use_authtok paziņojums no paroles rindas, lai beidzot izskatītos kā zemāk esošajā fragmentā.
parole [panākumi = 1 noklusējums = ignorēt] pam_winbind.so try_first_pass.
17. Lai autentificētos Ubuntu resursdatorā ar Samba4 AD kontu, izmantojiet su domēna lietotājvārda parametru pēc su - komandas. Palaidiet komandu id, lai iegūtu papildu informāciju par AD kontu.
$ su - tavs_lietotājs.
Izmantot pwd komanda lai redzētu jūsu domēna lietotāja pašreizējo direktoriju un komandu passwd, ja vēlaties mainīt paroli.
18. Lai savā Ubuntu datorā izmantotu domēna kontu ar root tiesībām, jums ir jāpievieno AD lietotājvārds sudo sistēmas grupai, izdodot tālāk norādīto komandu:
$ sudo usermod -aG sudo your_domain_user.
Piesakieties Ubuntu ar domēna kontu un atjauniniet savu sistēmu, palaižot apt-get atjauninājums komandu, lai pārbaudītu, vai domēna lietotājam ir root tiesības.
19. Lai domēna grupai pievienotu saknes privilēģijas, atveriet beigu rediģēšanu /etc/sudoers failu, izmantojot visudo komandu un pievienojiet šādu rindu, kā parādīts zemāk esošajā ekrānuzņēmumā.
%YOUR_DOMAIN \\ your_domain \ group ALL = (VISI: VISI) VISI.
Izmantojiet slīpsvītras, lai izvairītos no atstarpēm, kas atrodas jūsu domēna grupas nosaukumā, vai lai izvairītos no pirmā slīpsvītras. Iepriekš minētajā piemērā domēna grupa domēnam TECMINT valstība ir nosaukta "domēna administratori”.
Iepriekšējā procenta zīme (%)
simbols norāda, ka mēs atsaucamies uz grupu, nevis uz lietotājvārdu.
20. Ja izmantojat Ubuntu grafisko versiju un vēlaties sistēmā pieteikties ar domēna lietotāju, jums ir jāmaina LightDM displeja pārvaldnieks, rediģējot /usr/share/lightdm/lightdm.conf.d/50-ubuntu.conf failu, pievienojiet šādas rindiņas un pārstartējiet iekārtu, lai atspoguļotu izmaiņas.
greeter-show-manual-login = taisnība. greeter-hide-users = taisnība.
Tagad tai vajadzētu būt iespējai pieteikties Ubuntu darbvirsmā ar domēna kontu, izmantojot kādu no tiem your_domain_username vai [e -pasts aizsargāts]_domain.tld vai your_domain \ your_domain_username formātā.