Acest tutorial descrie cum să conectați o mașină Ubuntu la un Samba4 Active Directory domeniu pentru autentificare ANUNȚ conturi cu local ACL pentru fișiere și directoare sau pentru crearea și maparea partajărilor de volum pentru utilizatorii controlerului de domeniu (acționează ca un server de fișiere).
1. Înainte de a începe să vă alăturați unui Ubuntu gazdă într-un Active Directory DC trebuie să vă asigurați că unele servicii sunt configurate corect pe mașina locală.
Un aspect important al mașinii dvs. îl reprezintă numele gazdei. Configurați un nume de mașină corect înainte de a vă alătura domeniului cu ajutorul hostnamectl comandă sau prin editare manuală /etc/hostname fişier.
# hostnamectl set-hostname your_machine_short_name. # cat / etc / hostname. # hostnamectl.
2. La pasul următor, deschideți și editați manual setările de rețea ale mașinii cu configurațiile IP corespunzătoare. Cele mai importante setări de aici sunt adresele IP DNS care indică înapoi controlerul de domeniu.
Editați | × /etc/network/interfaces înregistrați și adăugați dns-nameservers declarație cu adresele IP AD corespunzătoare și numele domeniului, așa cum este ilustrat în imaginea de mai jos.
De asemenea, asigurați-vă că se adaugă aceleași adrese IP DNS și numele domeniului /etc/resolv.conf fişier.
În imaginea de mai sus, 192.168.1.254 și 192.168.1.253 sunt adresele IP ale Samba4 AD DC și Tecmint.lan reprezintă numele domeniului AD care va fi interogat de toate mașinile integrate în tărâm.
3. Reporniți serviciile de rețea sau reporniți aparatul pentru a aplica noile configurații de rețea. Numărul a ping comanda împotriva numelui de domeniu pentru a testa dacă rezoluția DNS funcționează conform așteptărilor.
AD DC ar trebui să redea cu FQDN-ul său. În cazul în care ați configurat un server DHCP în rețeaua dvs. pentru a atribui automat setările IP pentru gazdele LAN, asigurați-vă că adăugați adrese IP AD DC la configurațiile DNS ale serverului DHCP.
# systemctl reporniți networking.service. # ping -c2 numele_de_domeniul tău.
4. Ultima configurație importantă necesară este reprezentată de sincronizarea timpului. Instalare ntpdate pachet, interogare și sincronizare cu AD DC prin emiterea comenzilor de mai jos.
$ sudo apt-get install ntpdate. $ sudo ntpdate -q numele_domeniul_dvs. $ sudo ntpdate_numele_domeniului tău.
5. La pasul următor, instalați software-ul cerut de mașina Ubuntu pentru a fi complet integrat în domeniu executând comanda de mai jos.
$ sudo apt-get install samba krb5-config krb5-user winbind libpam-winbind libnss-winbind.
În timp ce pachetele Kerberos se instalează, ar trebui să vi se solicite să introduceți numele tărâmului dvs. implicit. Folosiți numele domeniului dvs. cu majuscule și apăsați introduce tasta pentru a continua instalarea.
6. După finalizarea instalării tuturor pachetelor, testați Kerberos autentificare împotriva unui cont administrativ AD și listarea biletului prin emiterea comenzilor de mai jos.
# kinit ad_admin_user. # klist.
7. Primul pas în integrarea mașinii Ubuntu în Samba4 Active Directory domeniul este de a edita fișierul de configurare Samba.
Faceți backup fișierului de configurare implicit al Samba, furnizat de managerul de pachete, pentru a începe cu o configurație curată executând următoarele comenzi.
# mv /etc/samba/smb.conf /etc/samba/smb.conf.initial. # nano /etc/samba/smb.conf.
În noul fișier de configurare Samba adăugați liniile de mai jos:
[global] grup de lucru = TECMINT realm = TECMINT.LAN nume netbios = securitate ubuntu = ADS dns forwarder = 192.168.1.1 idmap config *: backend = tdb idmap config *: range = 50000-1000000 template homedir = / home /% D /% U template shell = / bin / bash winbind use default domain = true winbind offline logon = false winbind nss info = rfc2307 winbind enum users = da winbind enum grupuri = da vfs obiecte = acl_xattr map acl inherit = Da store dos atribute = Da.
A inlocui grup de lucru, tărâm, numele netbios și dns expeditor variabile cu propriile setări personalizate.
winbind utilizează domeniul implicit cauzele parametrilor winbind serviciu pentru a trata orice nume de utilizator AD necalificate ca utilizatori ai AD. Ar trebui să omiteți acest parametru dacă aveți nume de conturi de sistem locale care se suprapun conturilor AD.
8. Acum ar trebui să reporniți toți demonii samba și să opriți și să eliminați serviciile inutile și să activați serviciile samba la nivel de sistem prin emiterea comenzilor de mai jos.
$ sudo systemctl reporniți smbd nmbd winbind. $ sudo systemctl stop samba-ad-dc. $ sudo systemctl activează smbd nmbd winbind.
9. Alăturați-vă mașinii Ubuntu la Samba4 AD DC prin emiterea următoarei comenzi. Utilizați numele unui cont AD DC cu privilegii de administrator pentru ca legarea la tărâm să funcționeze conform așteptărilor.
$ sudo net ads join -U ad_admin_user.
10. Dintr-o Mașină Windows cu instrumente RSAT instalate poți deschide AD UC și navigați la Calculatoare container. Aici, mașina dvs. alăturată Ubuntu ar trebui să fie listată.
11. Pentru a efectua autentificarea pentru conturile AD pe computerul local, trebuie să modificați unele servicii și fișiere pe computerul local.
Mai întâi, deschideți și editați Comutatorul de serviciu de nume (NSS) Fișier de configurare.
$ sudo nano /etc/nsswitch.conf.
Apoi adăugați valoarea winbind pentru linii de trecere și grup, așa cum se ilustrează în extrasul de mai jos.
passwd: compat winbind. grup: compat winbind.
12. Pentru a testa dacă mașina Ubuntu a fost integrată cu succes în rularea regatului wbinfo comandă pentru listarea conturilor și grupurilor de domeniu.
$ wbinfo -u. $ wbinfo -g.
13. De asemenea, verificați modulul WinSind nsswitch emițând fișierul getent comandați și conduceți rezultatele printr-un filtru precum grep pentru a restrânge rezultatul numai pentru anumite utilizatori sau grupuri de domenii.
$ sudo getent passwd | grep dvs._domeniul_utilizator. $ sudo getent group | grep 'administratori de domeniu'
14. Pentru a vă autentifica pe mașina Ubuntu cu conturi de domeniu, trebuie să rulați pam-auth-update comanda cu privilegii root și adăugați toate intrările necesare pentru serviciul winbind și pentru a crea automat directoare de start pentru fiecare cont de domeniu la prima autentificare.
Verificați toate intrările apăsând [spaţiu]
tasta și lovirea Bine pentru a aplica configurația.
$ sudo pam-auth-update.
15. Pe sistemele Debian trebuie să editați manual /etc/pam.d/common-account fișier și următoarea linie pentru a crea automat case pentru utilizatorii de domeniu autentificați.
sesiunea necesară pam_mkhomedir.so skel = / etc / skel / umask = 0022.
16. In asa fel incat Director activ utilizatorii să poată schimba parola din linia de comandă în Linux deschis /etc/pam.d/common-password fișier și eliminați fișierul use_authtok declarație din linia parolei pentru a arăta în cele din urmă ca în extrasul de mai jos.
parola [succes = 1 implicit = ignorare] pam_winbind.so try_first_pass.
17. Pentru a vă autentifica pe gazda Ubuntu cu un cont Samba4 AD, utilizați parametrul nume de utilizator al domeniului după comandă. Rulați comanda id pentru a obține informații suplimentare despre contul AD.
$ su - dvs._ad_user.
Utilizare comanda pwd pentru a vedea directorul curent al utilizatorului de domeniu și comanda passwd dacă doriți să schimbați parola.
18. Pentru a utiliza un cont de domeniu cu privilegii de root pe mașina dvs. Ubuntu, trebuie să adăugați numele de utilizator AD la grupul de sistem sudo prin emiterea comenzii de mai jos:
$ sudo usermod -aG sudo dvs._domeniul_utilizator.
Conectați-vă la Ubuntu cu contul de domeniu și actualizați-vă sistemul rulând apt-get update comanda pentru a verifica dacă utilizatorul domeniului are privilegii de root.
19. Pentru a adăuga privilegii de root pentru un grup de domenii, deschideți editarea finală /etc/sudoers fișier folosind visudo comanda și adăugați următoarea linie, așa cum este ilustrat în captura de ecran de mai jos.
% YOUR_DOMAIN \\ your_domain \ group ALL = (ALL: ALL) ALL.
Utilizați barele oblice inverse pentru a scăpa de spațiile cuprinse în numele grupului dvs. de domenii sau pentru a scăpa de prima bară inversă. În exemplul de mai sus, grupul de domenii pentru TECMINT tărâmul este numit „administratori de domeniu”.
Semnul procentual precedent (%)
simbolul indică faptul că ne referim la un grup, nu la un nume de utilizator.
20. În cazul în care executați versiunea grafică a Ubuntu și doriți să vă conectați la sistem cu un utilizator de domeniu, trebuie să modificați managerul de afișare LightDM editând /usr/share/lightdm/lightdm.conf.d/50-ubuntu.conf fișier, adăugați următoarele linii și reporniți aparatul pentru a reflecta modificările.
salutare-arată-manual-autentificare = adevărat. salutare-ascundere-utilizatori = adevărat.
Acum ar trebui să poată efectua conectări pe Ubuntu Desktop cu un cont de domeniu folosind oricare numele_de_domeniul_dvs. sau [e-mail protejat]_domain.tld sau your_domain \ your_domain_username format.