Integrer Ubuntu 16.04 til AD som domænemedlem med Samba og Winbind - Del 8


Denne vejledning beskriver, hvordan man slutter sig til en Ubuntu-maskine til et Samba4 Active Directory-domæne for at autentificere AD-konti med lokal ACL til filer og mapper eller oprette og kortlægge volumeandele for brugere af domænecontroller (fungere som en filserver).

  1. Opret en Active Directory-infrastruktur med Samba4 på Ubuntu

Trin 1: Indledende konfigurationer for at slutte Ubuntu til Samba4 AD

1. Før du begynder at slutte dig til en Ubuntu-vært til en Active Directory DC, skal du sikre dig, at nogle tjenester er konfigureret korrekt på den lokale maskine.

Et vigtigt aspekt af din maskine repræsenterer værtsnavnet. Opsæt et korrekt maskinnavn, inden du tilmelder dig domænet ved hjælp af kommandoen hostnamectl eller ved manuelt at redigere/etc/hostname-filen.

# hostnamectl set-hostname your_machine_short_name
# cat /etc/hostname
# hostnamectl

2. På det næste trin skal du åbne og redigere maskinens netværksindstillinger manuelt med de korrekte IP-konfigurationer. De vigtigste indstillinger her er DNS IP-adresserne, der peger tilbage til din domænecontroller.

Rediger/etc/netværk/interfaces-fil, og tilføj dns-nameservers-erklæring med dine korrekte AD IP-adresser og domænenavn som illustreret på nedenstående skærmbillede.

Sørg også for, at de samme DNS IP-adresser og domænenavnet føjes til /etc/resolv.conf-filen.

På ovenstående skærmbillede er 192.168.1.254 og 192.168.1.253 IP-adresserne til Samba4 AD DC, og Tecmint.lan repræsenterer navnet på AD-domænet, som vil blive forespurgt af alle maskiner, der er integreret i realm.

3. Genstart netværkstjenesterne, eller genstart maskinen for at anvende de nye netværkskonfigurationer. Udsted en ping-kommando mod dit domænenavn for at teste, om DNS-opløsning fungerer som forventet.

AD DC skal afspille med sin FQDN. Hvis du har konfigureret en DHCP-server i dit netværk til automatisk at tildele IP-indstillinger til dine LAN-værter, skal du sørge for at tilføje AD DC IP-adresser til DHCP-serverens DNS-konfigurationer.

# systemctl restart networking.service
# ping -c2 your_domain_name

4. Den sidste vigtige nødvendige konfiguration er repræsenteret ved tidssynkronisering. Installer ntpdate-pakke, forespørgsel og synkroniseringstid med AD DC ved at udstede nedenstående kommandoer.

$ sudo apt-get install ntpdate
$ sudo ntpdate -q your_domain_name
$ sudo ntpdate your_domain_name

5. På det næste trin skal du installere den software, der kræves af Ubuntu-maskinen for at være fuldt integreret i domænet, ved at køre nedenstående kommando.

$ sudo apt-get install samba krb5-config krb5-user winbind libpam-winbind libnss-winbind

Mens Kerberos-pakkerne installeres, skal du blive bedt om at indtaste navnet på dit standard rige. Brug navnet på dit domæne med store bogstaver, og tryk på Enter-tasten for at fortsætte installationen.

6. Når alle pakker er installeret, skal du teste Kerberos-godkendelse mod en AD-administratorkonto og liste billetten ved at udstede nedenstående kommandoer.

# kinit ad_admin_user
# klist

Trin 2: Deltag i Ubuntu til Samba4 AD DC

7. Det første trin i at integrere Ubuntu-maskinen i Samba4 Active Directory-domænet er at redigere Samba-konfigurationsfilen.

Sikkerhedskopier standardkonfigurationsfilen til Samba, leveret af pakkehåndteringen, for at starte med en ren konfiguration ved at køre følgende kommandoer.

# mv /etc/samba/smb.conf /etc/samba/smb.conf.initial
# nano /etc/samba/smb.conf 

På den nye Samba-konfigurationsfil tilføj nedenstående linjer:

[global]
        workgroup = TECMINT
        realm = TECMINT.LAN
        netbios name = ubuntu
        security = ADS
        dns forwarder = 192.168.1.1

idmap config * : backend = tdb        
idmap config *:range = 50000-1000000
	
   template homedir = /home/%D/%U
   template shell = /bin/bash
   winbind use default domain = true
   winbind offline logon = false
   winbind nss info = rfc2307
   winbind enum users = yes
   winbind enum groups = yes

  vfs objects = acl_xattr
  map acl inherit = Yes
  store dos attributes = Yes

Udskift variabler for arbejdsgruppe, rige, netbios og dns-videresendere med dine egne brugerdefinerede indstillinger.

Winbind-brugets standarddomæne-parameter medfører, at winbind-tjenesten behandler eventuelle ukvalificerede AD-brugernavne som brugere af AD. Du bør udelade denne parameter, hvis du har lokale systemkontonavne, der overlapper AD-konti.

8. Nu skal du genstarte alle samba-dæmoner og stoppe og fjerne unødvendige tjenester og aktivere samba-tjenester hele systemet ved at udstede nedenstående kommandoer.

$ sudo systemctl restart smbd nmbd winbind
$ sudo systemctl stop samba-ad-dc
$ sudo systemctl enable smbd nmbd winbind

9. Deltag i Ubuntu-maskinen til Samba4 AD DC ved at udstede følgende kommando. Brug navnet på en AD DC-konto med administratorrettigheder, for at binding til realm fungerer som forventet.

$ sudo net ads join -U ad_admin_user

10. Fra en Windows-maskine med installerede RSAT-værktøjer kan du åbne AD UC og navigere til Computers container. Her skal din Ubuntu-tilsluttede maskine være anført.

Trin 3: Konfigurer godkendelse af AD-konti

11. For at udføre godkendelse af AD-konti på den lokale maskine skal du ændre nogle tjenester og filer på den lokale maskine.

Først skal du åbne og redigere NSS-konfigurationsfilen (Name Service Switch).

$ sudo nano /etc/nsswitch.conf

Næste tilføj winbind-værdi for passwd og gruppelinjer som illustreret i nedenstående uddrag.

passwd:         compat winbind
group:          compat winbind

12. For at teste, om Ubuntu-maskinen med succes blev integreret i realm, skal du køre wbinfo-kommandoen for at angive domænekonti og grupper.

$ wbinfo -u
$ wbinfo -g

13. Kontroller også Winbind nsswitch-modulet ved at udstede getent-kommandoen og rør resultaterne gennem et filter som f.eks. Grep for kun at indsnævre output for bestemte domæne brugere eller grupper.

$ sudo getent passwd| grep your_domain_user
$ sudo getent group|grep 'domain admins'

14. For at godkende på Ubuntu-maskine med domænekonti skal du køre kommandoen pam-auth-update med root-rettigheder og tilføje alle de poster, der kræves for winbind-tjenesten, og automatisk oprette hjemmekataloger for hver domænekonto ved det første login.

Kontroller alle poster ved at trykke på [space] -tasten og tryk ok for at anvende konfigurationen.

$ sudo pam-auth-update

15. På Debian-systemer skal du manuelt redigere /etc/pam.d/common-account-fil og den følgende linje for automatisk at oprette hjem til godkendte domæne brugere.

session    required    pam_mkhomedir.so    skel=/etc/skel/    umask=0022

16. For at Active Directory-brugere skal kunne ændre adgangskoden fra kommandolinjen i Linux, skal du åbne /etc/pam.d/common-password-filen og fjerne use_authtok-sætningen fra adgangskodelinjen for til sidst at se ud som nedenfor uddrag.

password       [success=1 default=ignore]      pam_winbind.so try_first_pass

17. For at godkende på Ubuntu-værten med en Samba4 AD-konto skal du bruge parameteren for domæne-brugernavn efter su-kommando. Kør id-kommandoen for at få ekstra info om AD-kontoen.

$ su - your_ad_user

Brug pwd-kommandoen til at se dit domæneres aktuelle bibliotek og passwd-kommando, hvis du vil ændre adgangskoden.

18. For at bruge en domænekonto med rodrettigheder på din Ubuntu-maskine skal du tilføje AD-brugernavnet til sudo-systemgruppen ved at udstede kommandoen nedenfor:

$ sudo usermod -aG sudo your_domain_user

Log ind på Ubuntu med domænekontoen, og opdater dit system ved at køre apt-get update-kommandoen for at kontrollere, om domænebrugeren har rodrettigheder.

19. For at tilføje rodprivilegier for en domænegruppe skal du åbne en redigeringsfil/etc/sudoers ved hjælp af visudo-kommandoen og tilføje følgende linje som illustreret på nedenstående skærmbillede.

%YOUR_DOMAIN\\your_domain\  group       		 ALL=(ALL:ALL) ALL

Brug tilbageslag til at undslippe mellemrum indeholdt i dit domænegruppenavn eller for at undslippe den første tilbageslag. I ovenstående eksempel hedder domænegruppen for TECMINT realm “domæneadministratorer”.

Det foregående procenttegn (%) symbol angiver, at vi henviser til en gruppe, ikke et brugernavn.

20. Hvis du kører den grafiske version af Ubuntu, og du vil logge ind på systemet med en domænebruger, skal du ændre LightDM displaymanager ved at redigere /usr/share/lightdm/lightdm.conf.d/50-ubuntu .conf-fil, tilføj følgende linjer og genstart maskinen for at afspejle ændringer.

greeter-show-manual-login=true
greeter-hide-users=true

Det skal nu være i stand til at udføre logins på Ubuntu Desktop med en domænekonto ved hjælp af enten dit_domæne_brugernavn eller [e-mail-beskyttet] _domæne.tld eller dit_domæne\dit_domæne_brugernavnformat.