Integrar ubuntu 16.04 a AD como miembro de dominio con Samba y Winbind - Parte 8

Este tutorial describe cómo unirse a una máquina Ubuntu en un Samba4 Active Directory dominio para autenticar ANUNCIO Cuentas con local LCA Para archivos y directorios o para crear y asignar acciones de volumen para usuarios de controladores de dominio (acto A como servidor de archivos).

Requisitos:

1. Cree una infraestructura de Active Directory con Samba4 en Ubuntu

Paso 1: Configuraciones iniciales para unirse a Ubuntu a Samba4 AD

1. Antes de comenzar a unirse a un Ubuntu anfitrión en un Active Directory DC Debe asegurar que algunos servicios se configuran correctamente en la máquina local.

Un aspecto importante de su máquina representa el nombre de host. Configurar un nombre de máquina adecuado antes de unir el dominio con la ayuda de hostamectl comando o editando manualmente /etc/nombre de host archivo.

# hostnamectl set-hostname your_machine_short_name # cat /etc /hostname # hostnamectl 

Establecer nombre de host del sistema

2. En el siguiente paso, abra y edite manualmente la configuración de la red de su máquina con las configuraciones IP adecuadas. La configuración más importante aquí son las direcciones IP DNS que apunta a su controlador de dominio.

Editar /etc/red/interfaces archivo y agregar DNS-Nameservers Declaración con sus direcciones AD IP y nombre de dominio como se ilustra en la siguiente captura de pantalla.

Además, asegúrese de que las mismas direcciones IP DNS y el nombre de dominio se agregan a /etc/resolv.confusión archivo.

Configurar configuraciones de red para AD

En la captura de pantalla anterior, 192.168.1.254 y 192.168.1.253 son las direcciones IP del Samba4 AD DC y Tecmenta.lan representa el nombre del dominio AD que será consultado por todas las máquinas integradas en reino.

3. Reinicie los servicios de red o reinicie la máquina para aplicar las nuevas configuraciones de red. Emitir silbido Comando contra su nombre de dominio para probar si la resolución DNS funciona como se esperaba.

El AD DC Debería reproducir con su FQDN. En caso de que haya configurado un servidor DHCP en su red para asignar automáticamente la configuración de IP para sus hosts LAN, asegúrese de agregar direcciones IP AD DC a las configuraciones DNS del servidor DHCP.

# SystemCTL reiniciar las redes.servicio # ping -c2 your_domain_name 

4. La última configuración importante requerida se representa por sincronización de tiempo. Instalar ntpdate paquete, consulta y tiempo de sincronización con el AD DC emitiendo los siguientes comandos.

$ sudo apt -get install ntpdate $ sudo ntpdate -q your_domain_name $ sudo ntpdate your_domain_name 

Sincronización de tiempo con AD

5. En el siguiente paso, instale el software requerido por Ubuntu Machine para estar completamente integrado en el dominio ejecutando el siguiente comando.

$ sudo apt-get instalación samba krb5-config krb5-user winbind libpam-winbind libnss-winbind 

Instale Samba4 en el cliente de Ubuntu

Mientras se instalan los paquetes de Kerberos, se le debe pedir que ingrese el nombre de su reino predeterminado. Use el nombre de su dominio con mayúsculas y presione Ingresar clave para continuar la instalación.

Agregar nombre de dominio AD

6. Después de todos los paquetes, terminen de instalar, prueba Kerberos autenticación contra una cuenta administrativa de anuncios y enumere el boleto emitiendo los siguientes comandos.

# Kinit Ad_admin_user # Klist 

Consulte la autenticación de Kerberos con AD

Paso 2: Únete a Ubuntu a Samba4 AD DC

7. El primer paso para integrar la máquina ubuntu en la Samba4 Active Directory El dominio es editar el archivo de configuración de Samba.

Copia de seguridad El archivo de configuración predeterminado de SAMBA, proporcionado por el Administrador de paquetes, para comenzar con una configuración limpia ejecutando los siguientes comandos.

# mv/etc/samba/smb.conf/etc/samba/smb.confusión.inicial # nano/etc/samba/smb.confusión  

En el nuevo archivo de configuración de Samba, agregue las líneas a continuación:

[global] Group de trabajo = TecMint Realm = TecMint.Lan netbios name = Ubuntu Security = ADS DNS Reengers = 192.168.1.1 IDMAP config *: backend = tdb idmap config *: range = 50000-1000000 plantilla homedir =/home/%d/%u plantplate shell =/bin/bash winbind use dominio predeterminado = true Winbind Offline logon = false winbind nss info = rfc2307 winbind enum usuarios = sí winbind enum grupos = sí vfs objetos = acl_xattr map acl heredero = sí almacenamiento de dos atributos = sí 

Configurar samba para AD

Reemplazar grupo de trabajo, reino, Nombre de Netbios y reenvío de DNS Variables con su propia configuración personalizada.

El winbind use dominio predeterminado Causas de parámetros acariciar Servicio para tratar cualquier nombre de usuario de AD no calificado como usuarios del anuncio. Debe omitir este parámetro si tiene nombres de cuentas del sistema local que se superponen a las cuentas de anuncios.

8. Ahora debe reiniciar todos los Daemons de Samba y detener y eliminar servicios innecesarios y habilitar los servicios de Samba en todo el sistema emitiendo los siguientes comandos.

$ sudo SystemCTL reiniciar SMBD NMBD Winbind $ sudo SystemCTL Stop samba-ad-dc $ sudo systemctl habilita smbd nmbd winbind 

9. Únete a la máquina Ubuntu para Samba4 AD DC emitiendo el siguiente comando. Use el nombre de una cuenta AD DC con privilegios de administrador para que el reino vinculante funcione como se esperaba.

$ sudo anuncios netos se une -u ad_admin_user 

Únete a Ubuntu a Samba4 AD DC

10. Desde una máquina de Windows con herramientas RSAT instaladas, puede abrir AD UC y navegar a Ordenadores envase. Aquí, su máquina unida a Ubuntu debe estar enumerada.

Confirme al cliente ubuntu en Windows AD DC

Paso 3: Configurar la autenticación de cuentas de anuncios

11. Para realizar la autenticación de cuentas publicitarias en la máquina local, debe modificar algunos servicios y archivos en la máquina local.

Primero, abra y edite El interruptor de servicio de nombre (NSS) archivo de configuración.

$ sudo nano/etc/nsswitch.confusión 

Siguiente valor de agrega Winbind para PassWD y líneas de grupo como se ilustra en el extracto a continuación.

PASSWD: Compat Winbind Group: Compat Winbind 

Configurar la autenticación de cuentas de anuncios

12. Para probar si la máquina Ubuntu se integró con éxito para la ejecución del reino wbinfo Comando para enumerar cuentas y grupos de dominio.

$ wbinfo -u $ wbinfo -g 

Lista de cuentas y grupos de dominio publicitario

13. Además, consulte el módulo Winbind NSSwitch emitiendo el get coman y suplique los resultados a través de un filtro como grep para reducir la salida solo para usuarios o grupos de dominio específicos.

$ sudo getent passwd | Grep Your_Domain_user $ sudo getent Group | Grep 'Dominio Admins' 

Verifique los usuarios y grupos del dominio publicitario

14. Para autenticarse en la máquina ubuntu con cuentas de dominio, debe ejecutar Pam-Auth-Update Comando con privilegios raíz y agregue todas las entradas requeridas para el servicio Winbind y para crear automáticamente directorios de inicio para cada cuenta de dominio en el primer inicio de sesión.

Verifique todas las entradas presionando [espacio] llave y presione OK Para aplicar la configuración.

$ sudo Pam-Auth-Update 

Autenticar ubuntu con cuentas de dominio

15. En los sistemas Debian debe editar manualmente /etc/pam.d/cuenta común Archivo y la siguiente línea para crear automáticamente casas para usuarios de dominio autenticados.

Se requiere sesión PAM_MKHOMEDIR.Entonces skel =/etc/skel/Umask = 0022 

Autenticar a Debian con cuentas de dominio

dieciséis. Para poder Directorio Activo Los usuarios para poder cambiar la contraseña desde la línea de comando en Linux Open /etc/pam.d/pasas comunes archivo y eliminar el use_authtok Declaración de la línea de contraseña para finalmente mirar como en el siguiente extracto.

contraseña [éxito = 1 default = ignore] pam_winbind.Entonces try_first_pass 

Los usuarios permiten cambiar la contraseña

17. Para autenticar en Ubuntu Host con una cuenta de anuncios de Samba4, use el parámetro de nombre de usuario del dominio después de su - comando. Ejecutar el comando de identificación para obtener información adicional sobre la cuenta de anuncios.

$ su - your_ad_user 

Encontrar información del usuario de anuncios

Use el comando pwd para ver el directorio actual del usuario de su dominio y el comando passwd si desea cambiar la contraseña.

18. Para usar una cuenta de dominio con privilegios raíz en su máquina Ubuntu, debe agregar el nombre de usuario AD al grupo de sistema sudo emitiendo el siguiente comando:

$ sudo usermod -ag sudo your_domain_user 

Inicie sesión en Ubuntu con la cuenta de dominio y actualice su sistema ejecutando Actualización de apt-get Comando para verificar si el usuario del dominio tiene privilegios raíz.

Agregar grupo de raíz de usuario de sudo

19. Para agregar privilegios de raíz para un grupo de dominio, Abra la edición final /etc/sudoers archivo usando visudo Comando y agregue la siguiente línea como se ilustra en la siguiente captura de pantalla.

%Your_domain \\ your_domain \ group all = (todos: todos) todos 

Agregar privilegios raíz al grupo de dominio

Use barras trastas para escapar de los espacios contenidos en el nombre de su grupo de dominio o para escapar de la primera barra insegura. En el ejemplo anterior, el grupo de dominio para Tecmenta reino se llama "administradores de dominio".

El signo de porcentaje anterior (%) El símbolo indica que nos referimos a un grupo, no a un nombre de usuario.

20. En caso de que esté ejecutando la versión gráfica de Ubuntu y desea iniciar sesión en el sistema con un usuario de dominio, debe modificar LightDM Display Manager editando /usr/share/lightdm/lightdm.confusión.d/50-Ubuntu.confusión Archivo, agregue las siguientes líneas y reinicie la máquina para reflejar los cambios.

gravers-show-manual-login = verdadero saludador-escondido = verdadero 

Ahora debería poder realizar inicios de sesión en Ubuntu Desktop con una cuenta de dominio utilizando you_domain_username o [correo electrónico protegido] _domain.TLD o your_domain \ your_domain_username formato.