I-integrate ang Ubuntu sa Samba4 AD DC sa SSSD ug Realm - Bahin 15

Kini nga panudlo maggiya kanimo kung giunsa ang pag-apil sa usa ka makina sa Ubuntu Desktop sa usa ka domain sa Samba4 Active Directory nga adunay mga serbisyo sa SSSD ug Realmd aron mapamatud-an ang mga tiggamit batok sa usa ka Active Directory.

Paghimo ug Active Directory Infrastructure gamit ang Samba4 sa Ubuntu

Lakang 1: Inisyal nga mga Configuration

1. Sa dili pa magsugod sa pag-apil sa Ubuntu ngadto sa usa ka Active Directory siguroha nga ang hostname husto nga gi-configure. Gamita ang hostnamectl command aron itakda ang ngalan sa makina o mano-mano nga i-edit ang /etc/hostname file.

$ sudo hostnamectl set-hostname your_machine_short_hostname
$ cat /etc/hostname
$ hostnamectl

2. Sa sunod nga lakang, i-edit ang mga setting sa interface sa network sa makina ug idugang ang tukma nga mga pag-configure sa IP ug ang husto nga mga adres sa DNS IP server aron itudlo ang Samba AD domain controller sama sa gihulagway sa screenshot sa ubos.

Kung na-configure nimo ang usa ka DHCP server sa imong lugar aron awtomatiko nga i-assign ang mga setting sa IP alang sa imong mga LAN machine nga adunay tukma nga mga ad sa AD DNS IP unya mahimo nimong laktawan kini nga lakang ug magpadayon.

Sa screenshot sa ibabaw, ang 192.168.1.254 ug 192.168.1.253 nagrepresentar sa mga IP address sa Samba4 Domain Controllers.

3. I-restart ang mga serbisyo sa network aron magamit ang mga pagbag-o gamit ang GUI o gikan sa command line ug mag-isyu ug serye sa ping command batok sa imong domain name aron masulayan kung ang resolusyon sa DNS nagtrabaho sama sa gipaabut. Usab, gamita ang host command aron masulayan ang resolusyon sa DNS.

$ sudo systemctl restart networking.service
$ host your_domain.tld
$ ping -c2 your_domain_name
$ ping -c2 adc1
$ ping -c2 adc2

4. Sa katapusan, siguroha nga ang oras sa makina nahiuyon sa Samba4 AD. I-install ang ntpdate nga pakete ug oras sa pag-sync sa AD pinaagi sa pag-isyu sa mga sugo sa ubos.

$ sudo apt-get install ntpdate
$ sudo ntpdate your_domain_name

Lakang 2: I-install ang Gikinahanglan nga Mga Pakete

5. Niini nga lakang i-install ang gikinahanglan nga software ug gikinahanglan nga mga dependency aron makaapil sa Ubuntu ngadto sa Samba4 AD DC: Realmd ug SSSD nga mga serbisyo.

$ sudo apt install adcli realmd krb5-user samba-common-bin samba-libs samba-dsdb-modules sssd sssd-tools libnss-sss libpam-sss packagekit policykit-1

6. Pagsulod sa ngalan sa default nga gingharian nga adunay mga uppercase ug pindota ang Enter key aron ipadayon ang pag-instalar.

7. Sunod, paghimo sa SSSD configuration file uban sa mosunod nga sulod.

$ sudo nano /etc/sssd/sssd.conf

Idugang ang mosunod nga mga linya sa sssd.conf file.

[nss]
filter_groups = root
filter_users = root
reconnection_retries = 3

[pam]
reconnection_retries = 3

[sssd]
domains = tecmint.lan
config_file_version = 2
services = nss, pam
default_domain_suffix = TECMINT.LAN


[domain/tecmint.lan]
ad_domain = tecmint.lan
krb5_realm = TECMINT.LAN
realmd_tags = manages-system joined-with-samba
cache_credentials = True
id_provider = ad
krb5_store_password_if_offline = True
default_shell = /bin/bash
ldap_id_mapping = True
use_fully_qualified_names = True
fallback_homedir = /home/%d/%u
access_provider = ad

auth_provider = ad
chpass_provider = ad
access_provider = ad
ldap_schema = ad
dyndns_update = true
dyndns_refresh_interval = 43200
dyndns_update_ptr = true
dyndns_ttl = 3600

Siguroha nga imong ilisan ang domain name sa mosunod nga mga parameter sumala niana:

domains = tecmint.lan
default_domain_suffix = TECMINT.LAN
[domain/tecmint.lan]
ad_domain = tecmint.lan
krb5_realm = TECMINT.LAN

8. Sunod, idugang ang hustong permiso para sa SSSD file pinaagi sa pag-isyu sa ubos nga sugo:

$ sudo chmod 700 /etc/sssd/sssd.conf

9. Karon, ablihi ug usba ang Realmd configuration file ug idugang ang mosunod nga mga linya.

$ sudo nano /etc/realmd.conf

Realmd.conf file nga kinutlo:

[active-directory]
os-name = Linux Ubuntu
os-version = 17.04

[service]
automatic-install = yes

 [users]
default-home = /home/%d/%u
default-shell = /bin/bash

[tecmint.lan]
user-principal = yes
fully-qualified-names = no

10. Ang katapusan nga file nga imong kinahanglan nga usbon iya sa Samba daemon. Ablihi ang /etc/samba/smb.conf file para sa pag-edit ug idugang ang mosunod nga block sa code sa sinugdanan sa file, human sa [global] nga seksyon sama sa gihulagway sa hulagway sa ubos.

 workgroup = TECMINT
   client signing = yes
   client use spnego = yes
   kerberos method = secrets and keytab
   realm = TECMINT.LAN
   security = ads

Siguroa nga imong ilisan ang domain name value, ilabina ang realm value aron mohaum sa imong domain name ug magpadagan sa testparm command aron masusi kung ang configuration file walay mga sayop.

$ sudo testparm

11. Human nimo mahimo ang tanang gikinahanglan nga mga kausaban, sulayi ang Kerberos authentication gamit ang AD administrative account ug ilista ang tiket pinaagi sa pag-isyu sa ubos nga mga sugo.

$ sudo kinit [email 
$ sudo klist

Lakang 3: Apil sa Ubuntu sa Samba4 Realm

12. Aron sa pag-apil sa Ubuntu machine sa Samba4 Active Directory isyu sa pagsunod sa serye sa mga sugo sama sa gihulagway sa ubos. Gamita ang ngalan sa usa ka AD DC account nga adunay mga pribilehiyo sa tagdumala aron ang pagbugkos sa gingharian molihok sama sa gipaabut ug ilisan ang kantidad sa ngalan sa domain sumala niana.

$ sudo realm discover -v DOMAIN.TLD
$ sudo realm list
$ sudo realm join TECMINT.LAN -U ad_admin_user -v
$ sudo net ads join -k

13. Human mahitabo ang domain binding, padagana ang ubos nga command aron masiguro nga ang tanang domain account gitugotan sa pag-authenticate sa makina.

$ sudo realm permit --all

Pagkahuman, mahimo nimong tugutan o ipanghimakak ang pag-access alang sa usa ka account sa gumagamit sa domain o usa ka grupo nga naggamit sa mando sa gingharian sama sa gipakita sa mga pananglitan sa ubos.

$ sudo realm deny -a
$ realm permit --groups ‘domain.tld\Linux Admins’
$ realm permit [email 
$ realm permit DOMAIN\\User2

14. Gikan sa usa ka Windows machine nga adunay RSAT nga mga himan nga na-install mahimo nimong ablihan ang AD UC ug mag-navigate sa sudlanan sa Computers ug susihon kung ang usa ka butang nga account nga adunay ngalan sa imong makina nahimo na.

Lakang 4: I-configure ang AD Accounts Authentication

15. Aron ma-authenticate sa makina sa Ubuntu nga adunay mga domain account kinahanglan nimo nga ipadagan ang pam-auth-update nga command nga adunay mga pribilehiyo sa gamut ug mahimo ang tanan nga mga profile sa PAM lakip ang kapilian nga awtomatiko nga maghimo mga direktoryo sa balay alang sa matag domain account sa una nga pag-login.

Susiha ang tanang mga entry pinaagi sa pagpindot sa [space] key ug i-hit ok aron magamit ang configuration.

$ sudo pam-auth-update

16. Sa mga sistema mano-mano nga i-edit ang /etc/pam.d/common-account file ug ang mosunod nga linya aron awtomatik nga makamugna og mga balay alang sa authenticated domain users.

session    required    pam_mkhomedir.so    skel=/etc/skel/    umask=0022

17. Kung ang mga tiggamit sa Active Directory dili makausab sa ilang password gikan sa command line sa Linux, ablihi ang /etc/pam.d/common-password file ug kuhaa ang use_authtok nga pahayag gikan sa linya sa password aron sa katapusan tan-awon sama sa ubos nga kinutlo.

password       [success=1 default=ignore]      pam_winbind.so try_first_pass

18. Sa katapusan, i-restart ug i-enable ang Realmd ug SSSD nga serbisyo sa paggamit sa mga kausaban pinaagi sa pag-isyu sa ubos nga mga sugo:

$ sudo systemctl restart realmd sssd
$ sudo systemctl enable realmd sssd

19. Aron masulayan kung ang makina sa Ubuntu malampuson nga na-integrate sa realm run i-install ang winbind package ug ipadagan ang wbinfo command aron ilista ang mga domain account ug mga grupo sama sa gihulagway sa ubos.

$ sudo apt-get install winbind
$ wbinfo -u
$ wbinfo -g

20. Usab, susiha ang Winbind nsswitch module pinaagi sa pag-isyu sa getent command batok sa usa ka piho nga domain user o grupo.

$ sudo getent passwd your_domain_user
$ sudo getent group ‘domain admins’

21. Mahimo usab nimo gamiton ang Linux id command aron makakuha og impormasyon bahin sa AD account sama sa gihulagway sa ubos nga sugo.

$ id tecmint_user

22. Sa pag-authenticate sa Ubuntu host gamit ang Samba4 AD account gamita ang domain username parameter human sa su - command. Pagdalagan id command para makakuha ug dugang impormasyon bahin sa AD account.

$ su - your_ad_user

Gamita ang pwd command aron makita ang imong domain user nga kasamtangang working directory ug passwd command kung gusto nimo usbon ang password.

23. Aron makagamit ug domain account nga adunay root privileges sa imong Ubuntu machine, kinahanglan nimong idugang ang AD username sa sudo system group pinaagi sa pag-isyu sa ubos nga sugo:

$ sudo usermod -aG sudo [email

Pag-login sa Ubuntu gamit ang domain account ug i-update ang imong sistema pinaagi sa pagpadagan sa apt update command aron masusi ang mga pribilehiyo sa gamut.

24. Para makadugang ug root privileges para sa domain group, open end edit /etc/sudoers file gamit ang visudo command ug idugang ang mosunod nga linya sama sa gihulagway.

%domain\ [email        		 ALL=(ALL:ALL) ALL

25. Sa paggamit sa domain account authentication alang sa Ubuntu Desktop usba ang LightDM display manager pinaagi sa pag-edit sa /usr/share/lightdm/lightdm.conf.d/50-ubuntu.conf file, idugang ang mosunod nga duha ka linya ug i-restart ang lightdm service o i-reboot ang makina nga magamit kausaban.

greeter-show-manual-login=true
greeter-hide-users=true

26. Aron magamit ang mubo nga pormat sa ngalan para sa Samba AD nga mga account, usba ang /etc/sssd/sssd.conf file, idugang ang mosunod nga linya sa [sssd] block sama sa gihulagway sa ubos.

full_name_format = %1$s

ug i-restart ang SSSD daemon aron magamit ang mga pagbag-o.

$ sudo systemctl restart sssd

Mamatikdan nimo nga ang bash prompt mausab ngadto sa mubo nga ngalan sa AD user nga walay pagdugang sa domain name counterpart.

27. Sa kaso nga dili ka maka-login tungod sa enumerate=true argument nga gibutang sa sssd.conf kinahanglan nimo nga hawanan ang sssd cached database pinaagi sa pag-isyu sa ubos nga sugo:

$ rm /var/lib/sss/db/cache_tecmint.lan.ldb

Kana lang! Bisan tuod kini nga giya nag-una nga naka-focus sa integrasyon sa usa ka Samba4 Active Directory, ang parehas nga mga lakang mahimong magamit aron ma-integrate ang Ubuntu sa Realmd ug SSSD nga mga serbisyo ngadto sa Microsoft Windows Server Active Directory.