Integre o Ubuntu 16.04 AD como membro de domínio com Samba e Winbind - Parte 8
- 1188
- 117
- Enrique Crist
Este tutorial descreve como ingressar em uma máquina Ubuntu em um Samba4 Active Directory domínio para autenticar DE ANÚNCIOS Contas com local ACL Para arquivos e diretórios ou para criar e mapear compartilhamentos de volume para usuários do controlador de domínio (ACT A como servidor de arquivos).
Requisitos:
- Crie uma infraestrutura do Active Directory com Samba4 no Ubuntu
Etapa 1: Configurações iniciais para ingressar no Ubuntu para samba4 anúncio
1. Antes de começar a se juntar a um Ubuntu hospedeiro em um Active Directory DC Você precisa garantir que alguns serviços sejam configurados corretamente na máquina local.
Um aspecto importante da sua máquina representa o nome de anfitrião. Configurar um nome de máquina adequado antes de ingressar no domínio com a ajuda de hostnamectl comando ou editando manualmente /etc/hostname arquivo.
# hostnamectl set-hostname your_machine_short_name # cat /etc /hostname # hostnamectlDefina o nome do host do sistema
2. Na próxima etapa, abra e edite manualmente as configurações de rede de máquina com as configurações de IP adequadas. As configurações mais importantes aqui são os endereços IP do DNS que apontam de volta ao seu controlador de domínio.
Editar /etc/rede/interfaces Arquive e adicione DNS-NameServers Declaração com seus endereços IP de anúncios adequados e nome de domínio, conforme ilustrado na captura de tela abaixo.
Além disso, verifique se os mesmos endereços IP DNS e o nome de domínio são adicionados a /etc/resolv.conf arquivo.
Definir configurações de rede para anúncioNa captura de tela acima, 192.168.1.254 e 192.168.1.253 são os endereços IP do Samba4 anúncio dc e Tecmint.LAN representa o nome do domínio do anúncio que será consultado por todas as máquinas integradas ao reino.
3. Reinicie os serviços de rede ou reinicie a máquina para aplicar as novas configurações de rede. Um problema ping comando contra seu nome de domínio para testar se a resolução do DNS estiver funcionando como esperado.
O Ad DC deve repetir com seu FQDN. Caso você tenha configurado um servidor DHCP em sua rede para atribuir automaticamente as configurações de IP para seus hosts LAN, certifique -se de adicionar endereços IP DC AD às configurações do DHCP Server DNS.
# SystemCTL Reiniciar rede.Serviço # ping -c2 your_domain_name
4. A última configuração importante necessária é representada pela sincronização do tempo. Instalar ntpdate pacote, consulta e sincronização com o tempo com o Ad DC emitindo os comandos abaixo.
$ sudo apt -get install ntpdate $ sudo ntpdate -q your_domain_name $ sudo ntpdate your_domain_nameSincronização de tempo com anúncio
5. Na próxima etapa, instale o software exigido pelo Ubuntu Machine para ser totalmente integrado ao domínio, executando o comando abaixo.
$ sudo apt-get install samba krb5-config krb5-usuário winbind libpam-winbind libnss-winbindInstale o Samba4 no cliente Ubuntu
Enquanto os pacotes Kerberos estão instalando, você deve ser solicitado a inserir o nome do seu reino padrão. Use o nome do seu domínio com uppercases e pressione Digitar chave para continuar a instalação.
Adicionar nome de domínio de anúncio6. Depois de todos os pacotes terminarem a instalação, teste Kerberos Autenticação contra uma conta administrativa do anúncio e listar o ticket emitindo os comandos abaixo.
# kinit ad_admin_user # klistVerifique a autenticação de Kerberos com anúncio
Etapa 2: junte -se ao Ubuntu a Samba4 AD DC
7. O primeiro passo na integração da máquina Ubuntu na Samba4 Active Directory O domínio é editar o arquivo de configuração do Samba.
Faça backup do arquivo de configuração padrão do samba, fornecido pelo gerenciador de pacotes, para começar com uma configuração limpa executando os seguintes comandos.
# mv/etc/samba/smb.conf/etc/samba/smb.conf.# nano inicial/etc/samba/sMB.conf
No novo arquivo de configuração do Samba, adicione as linhas abaixo:
[global] WorkGroup = Tecmint Realm = Tecmint.Lan Netbios Nome = Ubuntu Security = ADS DNS Forwarder = 192.168.1.1 idmap configuração *: back-end = tdb iDmap config *: intervalo = 50000-1000000 Homedir =/home/%d/%u modelo u shell =/bin/bash winbind usa domínio padrão = verdadeiro winbind offline logon = false winbind nss info = RFC2307 Usuários do WinBind Enum = SIM GRUPOS DE ENUM WINBIND = SIM VFS Objetos = ACL_XATTR MAP ACL HERIT = SIM SOPORConfigure o samba para o anúncio
Substituir grupo de trabalho, reino, Nome do NetBIOS e DNS Forwarder variáveis com suas próprias configurações personalizadas.
O WinBind use o domínio padrão causas de parâmetro Winbind Serviço para tratar qualquer nome de usuário de anúncios não qualificado como usuários do anúncio. Você deve omitir este parâmetro se tiver nomes de contas do sistema local que sobreponham contas de anúncios.
8. Agora você deve reiniciar todos os daemons samba, parar e remover serviços desnecessários e permitir que o Samba Services em todo o sistema, emitindo os comandos abaixo.
$ sudo systemctl reiniciar smbd nmbd winbind $ sudo systemctl stop samba-ad-dc $ sudo systemctl atability smitd nmbd winbind
9. Junte -se à máquina Ubuntu para Samba4 anúncio dc emitindo o seguinte comando. Use o nome de uma conta de anúncios com privilégios de administrador para que a ligação ao reino funcione conforme o esperado.
$ sudo anúncios líquidos ingressar -u ad_admin_userJunte -se ao Ubuntu a Samba4 AD DC
10. De uma máquina Windows com ferramentas RSAT instaladas, você pode abrir Ad uc e navegar para Computadores recipiente. Aqui, sua máquina unida ao Ubuntu deve ser listada.
Confirme o cliente do Ubuntu no Windows Ad DCEtapa 3: configurar a autenticação de contas de anúncios
11. Para executar a autenticação para contas de anúncios na máquina local, você precisa modificar alguns serviços e arquivos na máquina local.
Primeiro, aberto e edite O interruptor de serviço de nome (NSS) arquivo de configuração.
$ sudo nano/etc/nsswitch.conf
Em seguida, prenda o valor do WinBind para linhas passadas e de grupo, conforme ilustrado no trecho abaixo.
Passwd: Compat Winbind Group: Compat WinbindConfigurar a autenticação de contas de anúncios
12. Para testar se a máquina Ubuntu foi integrada com sucesso ao reino wbinfo comando para listar contas e grupos de domínio.
$ wbinfo -u $ wbinfo -gListar contas e grupos de domínio do anúncio
13. Além disso, verifique o módulo NSSWitch WinBind emitindo o getent comando e tubar os resultados através de um filtro, como grep Para restringir a saída apenas para usuários ou grupos de domínio específicos.
$ sudo getent passwd | Grep your_domain_user $ sudo getent Group | Grep 'Admins Domain'Verifique os usuários e grupos de domínio do anúncio
14. Para se autenticar na máquina Ubuntu com contas de domínio, você precisa executar pam-auth-update Comando com privilégios root e adicione todas as entradas necessárias para o serviço WinBind e para criar automaticamente diretórios domésticos para cada conta de domínio no primeiro login.
Verifique todas as entradas pressionando [espaço]
chave e acerte OK Para aplicar a configuração.
$ sudo pam-auth-updateAutentique o Ubuntu com contas de domínio
15. Nos sistemas Debian, você precisa editar manualmente /etc/pam.D/conta comum arquivo e a seguinte linha para criar automaticamente casas para usuários de domínio autenticados.
Sessão necessária PAM_MKHOMEDIR.Então skel =/etc/skel/Umask = 0022Autentique o Debian com contas de domínio
16. Para Active Directory Usuários para poder alterar a senha da linha de comando no Linux Open /etc/pam.D/Pass-Password Arquive e remova o use_authtok Declaração da linha de senha para finalmente procurar no trecho abaixo.
Senha [sucesso = 1 padrão = ignorar] pam_winbind.Então, tente_first_passOs usuários autorizados a alterar a senha
17. Para autenticar no host Ubuntu com uma conta de anúncio samba4, use o parâmetro de nome de usuário do domínio após o comando. Execute o comando de identificação para obter informações extras sobre a conta do anúncio.
$ su - your_ad_userEncontre informações do usuário do anúncio
Use o comando pwd para ver o diretório atual do usuário do domínio e o comando passwd, se você quiser alterar a senha.
18. Para usar uma conta de domínio com privilégios root na sua máquina Ubuntu, você precisa adicionar o nome de usuário do anúncio ao grupo do sistema sudo, emitindo o comando abaixo:
$ sudo userMod -AG sudo your_domain_user
Faça login no Ubuntu com a conta de domínio e atualize seu sistema executando Atualização APT-Get comando para verificar se o usuário do domínio tem privilégios root.
Adicionar grupo raiz do usuário sudo19. Para adicionar privilégios de raiz para um grupo de domínio, edição de extremidade aberta /etc/sudoers arquivo usando Visudo comando e adicione a seguinte linha, conforme ilustrado na captura de tela abaixo.
%Your_domain \\ your_domain \ grupo tudo = (tudo: tudo)Adicione privilégios de raiz ao grupo de domínio
Use barras de barriga para escapar dos espaços contidos em seu nome de grupo de domínio ou para escapar da primeira barra de barragem. No exemplo acima, o grupo de domínio para Tecmint O reino é chamado “Administradores de domínio”.
O sinal percentual anterior (%)
Símbolo indica que estamos nos referindo a um grupo, não um nome de usuário.
20. Caso você esteja executando a versão gráfica do Ubuntu e deseja fazer login no sistema com um usuário de domínio, você precisa modificar o LightDM Display Manager, editando /usr/share/lightdm/lightdm.conf.d/50-ubuntu.conf Arquivo, adicione as seguintes linhas e reinicie a máquina para refletir as alterações.
Greether-show-manual-login = True Greeter-Hide-Users = True
Agora deve ser capaz de executar logins na área de trabalho do Ubuntu com uma conta de domínio usando qualquer YouR_Domain_Username ou [Email Protected] _Domain.tld ou your_domain \ your_domain_username formatar.
- « 8 melhores visualizadores de documentos em PDF para sistemas Linux
- Junte -se ao CentOS 7 Desktop no samba4 anúncio como um membro do domínio - Parte 9 »