Integre Ubuntu a Samba4 AD DC con SSSD y Reino - Parte 15

Este tutorial lo guiará sobre cómo unirse a un Escritor de ubuntu Machine en un Samba4 Active Directory dominio con SSSD y Reiniciar Servicios para autenticar a los usuarios contra un directorio activo.

Requisitos:

1. Cree una infraestructura de Active Directory con Samba4 en Ubuntu

Paso 1: Configuraciones iniciales

1. Antes de comenzar a unirse a Ubuntu en un activo directorio, asegúrese de que el nombre de host esté configurado correctamente. Usar hostamectl comandar para configurar el nombre de la máquina o editar manualmente /etc/nombre de host archivo.

$ sudo hostnamectl set-hostname your_machine_short_hostname $ cat /etc /hostname $ hostnamectl 

2. En el siguiente paso, edite la configuración de la interfaz de red de la máquina y agregue las configuraciones IP adecuadas y las direcciones correctas del servidor IP DNS para apuntar al controlador de dominio de AD Samba como se ilustra en la captura de pantalla a continuación.

Si ha configurado un servidor DHCP en sus instalaciones para asignar automáticamente la configuración de IP para sus máquinas LAN con las direcciones AD DNS IP, entonces puede omitir este paso y avanzar hacia adelante.

Configurar la interfaz de red

En la captura de pantalla anterior, 192.168.1.254 y 192.168.1.253 Representa las direcciones IP de los controladores de dominio Samba4.

3. Reinicie los servicios de red para aplicar los cambios utilizando la GUI o desde la línea de comandos y emita una serie de comando de ping contra su nombre de dominio para probar si la resolución DNS funciona como se esperaba. Además, usa anfitrión Comandar para probar la resolución DNS.

$ sudo systemctl reiniciar redes.servicio $ host your_domain.tld $ ping -c2 your_domain_name $ ping -c2 adc1 $ ping -c2 adc2 

4. Finalmente, asegúrese de que el tiempo de la máquina esté sincronizado con Samba4 AD. Instalar ntpdate paquete y tiempo de sincronización con el anuncio emitiendo los siguientes comandos.

$ sudo apt-get install ntpdate $ sudo ntpdate your_domain_name 

Paso 2: Instale los paquetes requeridos

5. En este paso, instale el software necesario y las dependencias necesarias para unirse a Ubuntu en AD SAMBA4 DC: Reiniciar y SSSD servicios.

$ sudo apt install adcli reasmd krb5-user samba-common-bin samba-libs samba-dsdb-modules sssd sssd-tools libnss-sss libpam-sss paquetes de paquetekitkit-1 

6. Ingrese el nombre del reino predeterminado con las mayúsculas y presione Ingresar clave para continuar la instalación.

Establecer el nombre del reino

7. A continuación, cree el SSSD archivo de configuración con el siguiente contenido.

$ sudo nano/etc/sssd/sssd.confusión 

Agregar líneas siguientes a SSSD.confusión archivo.

[NSS] Filter_Groups = root Filter_users = root Reconnection_retries = 3 [PAM] Reconnection_retries = 3 [SSSD] Dominios = TECMINT.lan config_file_version = 2 Services = NSS, Pam Default_Domain_Suffix = TecMint.LAN [Dominio/Tecmint.lan] ad_domain = tecMint.LAN KRB5_REALM = TECMINT.Lan realMd_tags = Maneges-System unido con Samba Cache_Credentials = true ID_Provider = ad Krb5_store_password_if_iffline = True default_shell =/bin/bash ldap_id_mapping = true_fully_qualified_names = true Fallback_homedir =/home/home/%d/%u access Ud = AD = ADTH_HOTH_HALIFIC AD Access_Provider = AD LDAP_SCHEMA = AD DYNDNS_UPDATE = True Dyndns_refresh_interval = 43200 Dyndns_update_ptr = True Dyndns_ttl = 3600 

Asegúrese de reemplazar el nombre de dominio en los siguientes parámetros en consecuencia:

Dominios = TecMint.lan default_domain_suffix = tecMint.LAN [Dominio/Tecmint.lan] ad_domain = tecMint.LAN KRB5_REALM = TECMINT.Lan 

8. A continuación, agregue los permisos adecuados para el archivo SSSD emitiendo el siguiente comando:

$ sudo chmod 700/etc/sssd/sssd.confusión 

9. Ahora, abra y edite Reiniciar archivo de configuración y agregar las siguientes líneas.

$ sudo nano /etc /reasmd.confusión 

Reiniciar.confusión Extracto de archivo:

[Active-Directory] OS-Name = Linux Ubuntu OS-Version = 17.04 [Servicio] Automatic-Install = sí [usuarios] default-home =/home/%d/%u default-shell =/bin/bash [tecMint.LAN] User-Principal = sí completamente calificado Names = no 

10. El último archivo que necesita modificar pertenece a Samba Daemon. Abierto /etc/samba/SMB.confusión Archivo para la edición y agregue el siguiente bloque de código al comienzo del archivo, después de la [global] Sección como se ilustra en la imagen a continuación.

 Workgroup = TecMint Client String = Sí Cliente Uso Spnego = Yes Kerberos Method = Secrets y KeyTab Realm = TecMint.LAN Security = ADS 

Configurar el servidor Samba

Asegúrese de reemplazar el nombre de dominio valor, especialmente el valor del reino para que coincida con su nombre de dominio y ejecute parque de pruebas Comando para verificar si el archivo de configuración no contiene errores.

$ sudo testparm 

Prueba de configuración de Samba

11. Después de haber realizado todos los cambios requeridos, pruebe la autenticación de Kerberos utilizando una cuenta administrativa de AD y enumere el boleto emitiendo los comandos a continuación.

$ sudo kinit [correo electrónico protegido] $ sudo klist 

Consulte la autenticación de Kerberos

Paso 3: Únete a Ubuntu a Samba4 Realm

12. Para unirse a Ubuntu Machine a Samba4 Active Directory Problema después de la serie de comandos como se ilustra a continuación. Use el nombre de una cuenta AD DC con privilegios de administrador para que el reino vinculante funcione como se esperaba y reemplaza el valor del nombre de dominio en consecuencia.

$ sudo reinomensor -v dominio.Tld $ sudo reino list $ sudo reino Únete a TecMint.Lan -u ad_admin_user -v $ sudo anuncios netos se une -k 

Únete a Ubuntu al reino de Samba4 Información del dominio del reino de la lista Agregar usuario al dominio Realm Agregar dominio al reino

13. Una vez que se realizó la unión del dominio, ejecute el siguiente comando para asegurar que todas las cuentas de dominio se permitan autenticarse en la máquina.

$ sudo reino permiso -todo 

Posteriormente, puede permitir o negar el acceso para una cuenta de usuario de dominio o un grupo que usa el comando Realm como se presenta en los ejemplos a continuación.

$ sudo reino denegar -A $ reino de reino -dominio de grupos.TLD \ Linux 'Admins' Realm Permit [correo electrónico protegido] $ Realm Permiso Dominio \\ User2 

14. Desde una máquina de Windows con herramientas RSAT instaladas, puede abrir AD UC y navegar a Ordenadores contenedor y verifique si se ha creado una cuenta de objeto con el nombre de su máquina.

Confirmar el dominio agregado a AD DC

Paso 4: Configurar la autenticación de cuentas de anuncios

15. Para autenticarse en la máquina ubuntu con cuentas de dominio, debe ejecutar Pam-Auth-Update Comando con privilegios raíz y habilite todos los perfiles de PAM, incluida la opción de crear automáticamente directorios de inicio para cada cuenta de dominio en el primer inicio de sesión.

Verifique todas las entradas presionando [espacio] llave y presione OK Para aplicar la configuración.

$ sudo Pam-Auth-Update 

Configuración de PAM

dieciséis. En sistemas editar manualmente /etc/pam.d/cuenta común Archivo y la siguiente línea para crear automáticamente casas para usuarios de dominio autenticados.

Se requiere sesión PAM_MKHOMEDIR.Entonces skel =/etc/skel/Umask = 0022 

17. Si los usuarios de Active Directory no pueden cambiar su contraseña desde la línea de comando en Linux, abra /etc/pam.d/pasas comunes archivo y eliminar el use_authtok Declaración de la línea de contraseña para finalmente mirar como en el siguiente extracto.

contraseña [éxito = 1 default = ignore] pam_winbind.Entonces try_first_pass 

18. Finalmente, reinicie y habilite el servicio RealMD y SSSD para aplicar los cambios emitiendo los siguientes comandos:

$ sudo systemctl reinsmd sssd $ sudo systemctl habilita reassd sssd 

19. Para probar si la máquina Ubuntu se integró correctamente al paquete de Winbind y ejecutar con éxito wbinfo Comando para enumerar cuentas y grupos de dominio como se ilustra a continuación.

$ sudo apt -get install winbind $ wbinfo -u $ wbinfo -g 

Lista de cuentas de dominio

20. Además, consulte el módulo Winbind NSSwitch emitiendo el get comandar contra un usuario o grupo de dominio específico.

$ sudo getent passwd your_domain_user $ sudo getent group 'administradores de dominio' 

Verifique Winbind NSSwitch

21. También puedes usar Linux identificación Comando para obtener información sobre una cuenta de anuncios como se ilustra en el siguiente comando.

$ ID TECMINT_USER 

Verifique la información del usuario del anuncio

22. Para autenticar en Ubuntu Host con una cuenta de anuncios de Samba4, use el parámetro de nombre de usuario del dominio después de SU - dominio. Correr identificación Comando para obtener información adicional sobre la cuenta publicitaria.

$ su - your_ad_user 

Autenticación de usuarios de anuncios

Usar pwd Comando para ver el directorio de trabajo actual del usuario de su dominio y el comando PASSWD si desea cambiar la contraseña.

23. Para usar una cuenta de dominio con privilegios raíz en su máquina Ubuntu, debe agregar el nombre de usuario AD al grupo de sistema sudo emitiendo el siguiente comando:

$ sudo usermod -ag sudo [correo electrónico protegido] 

Inicie sesión en Ubuntu con la cuenta de dominio y actualice su sistema ejecutando Actualización de apt comandar para verificar los privilegios raíz.

24. Para agregar privilegios de raíz para un grupo de dominio, Abra la edición final /etc/sudoers archivo usando visudo comando y agregue la siguiente línea como se ilustra.

%dominio \ [correo electrónico protegido] all = (todos: todos) todos 

25. Para usar la autenticación de la cuenta de dominio para la modificación de escritorio de Ubuntu Lightdm Manager de visualización mediante la edición /usr/share/lightdm/lightdm.confusión.d/50-Ubuntu.confusión archivo, agregue las siguientes dos líneas y reinicie el servicio LightDM o reinicie la máquina aplicar cambios.

gravers-show-manual-login = verdadero saludador-escondido = verdadero 

Inicie sesión en Ubuntu Desktop con una cuenta de dominio utilizando you_domain_username o [correo electrónico protegido] _domain.TLD sintaxis.

26. Para usar formato de nombre corto para cuentas de anuncios de samba, editar /etc/sssd/sssd.confusión archivo, agregue la siguiente línea en [SSSD] Bloque como se ilustra a continuación.

full_name_format = %1 $ s 

y reiniciar el demonio SSSD para aplicar cambios.

$ sudo systemctl reiniciar SSSD 

Notará que la solicitud de bash cambiará al nombre corto del usuario del anuncio sin agregar la contraparte del nombre de dominio.

27. En caso de que no pueda iniciar sesión debido a enumerado = verdadero argumento establecido en SSSD.confusión Debe borrar la base de datos en caché de SSSD emitiendo el siguiente comando:

$ rm/var/lib/sss/db/cache_tecmint.lan.LDB 

Eso es todo! Aunque esta guía se centra principalmente en la integración con un Samba4 Active Directory, se pueden aplicar los mismos pasos para integrar Ubuntu con los servicios RealMD y SSSD en un Microsoft Windows Server Active Directory.