I-integrate ang Ubuntu 16.04 ngadto sa AD isip Domain Member sa Samba ug Winbind - Bahin 8
Kini nga panudlo naghulagway kung giunsa ang pag-apil sa usa ka makina sa Ubuntu ngadto sa usa ka domain sa Samba4 Active Directory aron mapamatud-an ang mga AD account nga adunay lokal nga ACL alang sa mga file ug direktoryo o paghimo ug pag-mapa sa mga bahin sa volume alang sa mga tiggamit sa tigkontrol sa domain (paglihok ingon file server).
- Paghimo ug Active Directory Infrastructure gamit ang Samba4 sa Ubuntu
Lakang 1: Inisyal nga mga Pag-configure aron Apil sa Ubuntu sa Samba4 AD
1. Sa dili pa magsugod sa pag-apil sa usa ka host sa Ubuntu ngadto sa usa ka Active Directory DC kinahanglan nimo nga sigurohon nga ang pipila ka mga serbisyo na-configure sa husto sa lokal nga makina.
Usa ka importante nga aspeto sa imong makina nagrepresentar sa hostname. I-set up ang saktong pangalan sa makina sa dili pa moapil sa domain sa tabang sa hostnamectl command o pinaagi sa manual nga pag-edit sa /etc/hostname file.
# hostnamectl set-hostname your_machine_short_name # cat /etc/hostname # hostnamectl
2. Sa sunod nga lakang, ablihi ug mano-mano nga i-edit ang mga setting sa network sa imong makina gamit ang tukma nga mga pag-configure sa IP. Ang labing importante nga mga setting dinhi mao ang mga DNS IP address nga nagpunting balik sa imong domain controller.
I-edit ang /etc/network/interfaces file ug idugang ang dns-nameservers nga pahayag sa imong tukma nga AD IP address ug domain name sama sa gihulagway sa ubos nga screenshot.
Usab, siguroha nga ang parehas nga DNS IP address ug ang domain name idugang sa /etc/resolv.conf file.
Sa screenshot sa ibabaw, 192.168.1.254 ug 192.168.1.253 ang mga IP address sa Samba4 AD DC ug Tecmint.lan nagrepresentar sa ngalan sa AD domain nga pangutan-on sa tanan nga mga makina nga gisagol sa gingharian.
3. I-restart ang mga serbisyo sa network o i-reboot ang makina aron magamit ang bag-ong mga configuration sa network. Pag-isyu ug ping command batok sa imong domain name aron masulayan kung ang resolusyon sa DNS nagtrabaho sama sa gipaabut.
Ang AD DC kinahanglang i-replay sa FQDN niini. Kung na-configure nimo ang usa ka DHCP server sa imong network aron awtomatiko nga i-assign ang mga setting sa IP alang sa imong mga host sa LAN, siguroha nga imong idugang ang mga ad sa AD DC IP sa mga pag-configure sa DNS sa DHCP server.
# systemctl restart networking.service # ping -c2 your_domain_name
4. Ang kataposang importanteng configuration nga gikinahanglan girepresentahan sa time synchronization. I-install ang ntpdate nga pakete, pangutana ug oras sa pag-sync sa AD DC pinaagi sa pag-isyu sa mga sugo sa ubos.
$ sudo apt-get install ntpdate $ sudo ntpdate -q your_domain_name $ sudo ntpdate your_domain_name
5. Sa sunod nga lakang i-install ang software nga gikinahanglan sa makina sa Ubuntu aron hingpit nga ma-integrate sa domain pinaagi sa pagpadagan sa ubos nga sugo.
$ sudo apt-get install samba krb5-config krb5-user winbind libpam-winbind libnss-winbind
Samtang nag-install ang mga pakete sa Kerberos kinahanglan ka hangyoon nga isulod ang ngalan sa imong default nga gingharian. Gamita ang ngalan sa imong domain nga adunay mga uppercase ug pindota ang Enter key aron ipadayon ang instalasyon.
6. Human ma-install ang tanang package, sulayi ang Kerberos authentication batok sa AD administrative account ug ilista ang tiket pinaagi sa pag-isyu sa ubos nga mga sugo.
# kinit ad_admin_user # klist
Lakang 2: Apil sa Ubuntu sa Samba4 AD DC
7. Ang unang lakang sa pag-integrate sa makina sa Ubuntu ngadto sa Samba4 Active Directory domain mao ang pag-edit sa Samba configuration file.
I-backup ang default configuration file sa Samba, nga gihatag sa package manager, aron makasugod sa limpyo nga configuration pinaagi sa pagpadagan sa mosunod nga mga command.
# mv /etc/samba/smb.conf /etc/samba/smb.conf.initial # nano /etc/samba/smb.conf
Sa bag-ong Samba configuration file idugang ang mga linya sa ubos:
[global]
workgroup = TECMINT
realm = TECMINT.LAN
netbios name = ubuntu
security = ADS
dns forwarder = 192.168.1.1
idmap config * : backend = tdb
idmap config *:range = 50000-1000000
template homedir = /home/%D/%U
template shell = /bin/bash
winbind use default domain = true
winbind offline logon = false
winbind nss info = rfc2307
winbind enum users = yes
winbind enum groups = yes
vfs objects = acl_xattr
map acl inherit = Yes
store dos attributes = Yes
Ilisan ang workgroup, realm, netbios name ug dns forwarder variables gamit ang imong kaugalingong custom settings.
Ang winbind nga naggamit sa default domain parameter hinungdan sa winbind nga serbisyo sa pagtratar sa bisan unsa nga dili kwalipikado nga AD usernames isip tiggamit sa AD. Kinahanglan nimong laktawan kini nga parameter kung ikaw adunay mga ngalan sa lokal nga sistema sa account nga nagsapaw sa mga AD account.
8. Karon kinahanglan nimong i-restart ang tanang samba daemon ug hunongon ug tangtangon ang wala kinahanglana nga mga serbisyo ug i-enable ang mga serbisyo sa samba sa tibuok sistema pinaagi sa pag-isyu sa ubos nga mga sugo.
$ sudo systemctl restart smbd nmbd winbind $ sudo systemctl stop samba-ad-dc $ sudo systemctl enable smbd nmbd winbind
9. Apil sa makina sa Ubuntu sa Samba4 AD DC pinaagi sa pag-isyu sa mosunod nga sugo. Gamita ang ngalan sa usa ka AD DC account nga adunay mga pribilehiyo sa tagdumala aron ang pagbugkos sa gingharian molihok sama sa gipaabut.
$ sudo net ads join -U ad_admin_user
10. Gikan sa usa ka Windows machine nga adunay RSAT nga mga himan nga na-install mahimo nimong ablihan ang AD UC ug mag-navigate sa sudlanan sa Computers. Dinhi, kinahanglan nga ilista ang imong Ubuntu nga giapil nga makina.
Lakang 3: I-configure ang AD Accounts Authentication
11. Aron mahimo ang authentication alang sa AD nga mga account sa lokal nga makina, kinahanglan nimo nga usbon ang pipila ka mga serbisyo ug mga file sa lokal nga makina.
Una, ablihi ug i-edit ang The Name Service Switch (NSS) configuration file.
$ sudo nano /etc/nsswitch.conf
Sunod idugang ang winbind value para sa passwd ug mga linya sa grupo sama sa gihulagway sa ubos nga kinutlo.
passwd: compat winbind group: compat winbind
12. Aron masulayan kung ang makina sa Ubuntu malampuson nga na-integrate sa realm run wbinfo command sa paglista sa mga domain account ug mga grupo.
$ wbinfo -u $ wbinfo -g
13. Usab, susiha ang Winbind nsswitch module pinaagi sa pag-isyu sa getent command ug pipe ang mga resulta pinaagi sa usa ka filter sama sa grep aron pig-ot ang output alang lamang sa piho nga domain user o mga grupo.
$ sudo getent passwd| grep your_domain_user $ sudo getent group|grep 'domain admins'
14. Aron ma-authenticate sa makina sa Ubuntu nga adunay mga domain account kinahanglan nimo nga ipadagan ang pam-auth-update nga mando nga adunay mga pribilehiyo sa gamut ug idugang ang tanan nga mga entri nga gikinahanglan alang sa serbisyo sa winbind ug aron awtomatiko nga maghimo mga direktoryo sa balay alang sa matag domain account sa una nga pag-login.
Susiha ang tanang mga entry pinaagi sa pagpindot sa [space] key ug i-hit ok aron magamit ang configuration.
$ sudo pam-auth-update
15. Sa mga sistema sa Debian kinahanglan nimo nga mano-mano nga i-edit ang /etc/pam.d/common-account file ug ang mosunod nga linya aron awtomatik nga makahimo og mga balay alang sa mga authenticated domain users.
session required pam_mkhomedir.so skel=/etc/skel/ umask=0022
16. Aron ang mga tiggamit sa Active Directory makahimo sa pag-ilis sa password gikan sa command line sa Linux ablihi ang /etc/pam.d/common-password file ug tangtangon ang use_authtok nga pahayag gikan sa linya sa password aron sa katapusan tan-awon sama sa ubos nga kinutlo.
password [success=1 default=ignore] pam_winbind.so try_first_pass
17. Sa pag-authenticate sa Ubuntu host gamit ang Samba4 AD account gamita ang domain username parameter human sa su - command. Pagdalagan id command para makakuha ug dugang impormasyon bahin sa AD account.
$ su - your_ad_user
Gamita ang pwd command aron makita ang imong domain user karon nga direktoryo ug passwd command kung gusto nimo usbon ang password.
18. Aron makagamit ug domain account nga adunay root privileges sa imong Ubuntu machine, kinahanglan nimong idugang ang AD username sa sudo system group pinaagi sa pag-isyu sa ubos nga sugo:
$ sudo usermod -aG sudo your_domain_user
Pag-login sa Ubuntu gamit ang domain account ug i-update ang imong sistema pinaagi sa pagpadagan sa apt-get update command aron masusi kung ang domain user adunay mga pribilehiyo sa gamut.
19. Para makadugang ug root privileges para sa usa ka domain group, open end edit /etc/sudoers file gamit ang visudo command ug idugang ang mosunod nga linya sama sa gihulagway sa ubos nga screenshot.
%YOUR_DOMAIN\\your_domain\ group ALL=(ALL:ALL) ALL
Paggamit og mga backslash aron makalingkawas sa mga luna nga anaa sa imong domain group name o aron makalingkawas sa unang backslash. Sa pananglitan sa ibabaw ang grupo sa domain para sa TECMINT nga gingharian ginganlan og \mga admin sa domain.
Ang nag-una nga porsyento nga timaan nga (%) nga simbolo nagpaila nga kami nagtumong sa usa ka grupo, dili usa ka username.
20. Sa kaso nga imong gipadagan ang graphical nga bersyon sa Ubuntu ug gusto ka nga mag-login sa sistema nga adunay domain user, kinahanglan nimo nga usbon ang LightDM display manager pinaagi sa pag-edit /usr/share/lightdm/lightdm.conf.d/50-ubuntu .conf file, idugang ang mosunod nga mga linya ug i-reboot ang makina aron mapakita ang mga kausaban.
greeter-show-manual-login=true greeter-hide-users=true
Mahimo na kini karon nga makahimo og mga login sa Ubuntu Desktop gamit ang domain account gamit ang imong_domain_username o [email _domain.tld o your_domain\your_domain_username format.