Ubuntu'yu SSSD ve Realm ile Samba4 AD DC'ye entegre edin - Bölüm 15
Bu eğitim, Ubuntu Masaüstü makinesini SSSD ve Realmdile Samba4 Active Directory etki alanına nasıl katacağınız konusunda size rehberlik edecektir. > Kullanıcıların bir Active Directory'ye karşı kimlik doğrulamasını yapmak için hizmetler.
Gereksinimler:
- Ubuntu'da Samba4 ile Active Directory Altyapısı Oluşturun
Adım 1: İlk Yapılandırmalar
1. Ubuntu'yu Active Directory'ye eklemeye başlamadan önce ana bilgisayar adının doğru şekilde yapılandırıldığından emin olun. Makine adını ayarlamak veya /etc/hostname dosyasını manuel olarak düzenlemek için hostnamectl komutunu kullanın.
sudo hostnamectl set-hostname your_machine_short_hostname
cat /etc/hostname
hostnamectl
2. Bir sonraki adımda, makine ağ arayüzü ayarlarını düzenleyin ve aşağıdaki ekran görüntüsünde gösterildiği gibi Samba AD etki alanı denetleyicisini işaret edecek şekilde uygun IP yapılandırmalarını ve doğru DNS IP sunucu adreslerini ekleyin.
Tesisinizde bir DHCP sunucusunu, LAN makinelerinize uygun AD DNS IP adresleriyle otomatik olarak IP ayarları atayacak şekilde yapılandırdıysanız, bu adımı atlayıp ilerleyebilirsiniz.
Yukarıdaki ekran görüntüsünde 192.168.1.254 ve 192.168.1.253, Samba4 Etki Alanı Denetleyicilerinin IP adreslerini temsil eder.
3. Değişiklikleri GUI kullanarak veya komut satırından uygulamak için ağ hizmetlerini yeniden başlatın ve DNS çözümlemesinin doğru olup olmadığını test etmek için alan adınıza bir dizi ping komutu verin. beklendiği gibi çalışıyor. Ayrıca DNS çözümlemesini test etmek için host komutunu kullanın.
sudo systemctl restart networking.service
host your_domain.tld
ping -c2 your_domain_name
ping -c2 adc1
ping -c2 adc2
4. Son olarak makine zamanının Samba4 AD ile senkronize olduğundan emin olun. ntpdate paketini yükleyin ve aşağıdaki komutları vererek zamanı AD ile senkronize edin.
sudo apt-get install ntpdate
sudo ntpdate your_domain_name
Adım 2: Gerekli Paketleri Kurun
5. Bu adımda Ubuntu'yu Samba4 AD DC: Realmd ve SSSD hizmetlerine bağlamak için gerekli yazılımı ve gerekli bağımlılıkları yükleyin.
sudo apt install adcli realmd krb5-user samba-common-bin samba-libs samba-dsdb-modules sssd sssd-tools libnss-sss libpam-sss packagekit policykit-1
6. Varsayılan bölgenin adını büyük harflerle girin ve kuruluma devam etmek için Enter tuşuna basın.
7. Ardından, aşağıdaki içeriğe sahip SSSD yapılandırma dosyasını oluşturun.
sudo nano /etc/sssd/sssd.conf
sssd.conf dosyasına aşağıdaki satırları ekleyin.
[nss]
filter_groups = root
filter_users = root
reconnection_retries = 3
[pam]
reconnection_retries = 3
[sssd]
domains = tecmint.lan
config_file_version = 2
services = nss, pam
default_domain_suffix = TECMINT.LAN
[domain/tecmint.lan]
ad_domain = tecmint.lan
krb5_realm = TECMINT.LAN
realmd_tags = manages-system joined-with-samba
cache_credentials = True
id_provider = ad
krb5_store_password_if_offline = True
default_shell = /bin/bash
ldap_id_mapping = True
use_fully_qualified_names = True
fallback_homedir = /home/%d/%u
access_provider = ad
auth_provider = ad
chpass_provider = ad
access_provider = ad
ldap_schema = ad
dyndns_update = true
dyndns_refresh_interval = 43200
dyndns_update_ptr = true
dyndns_ttl = 3600
Alan adını aşağıdaki parametrelere uygun şekilde değiştirdiğinizden emin olun:
domains = tecmint.lan
default_domain_suffix = TECMINT.LAN
[domain/tecmint.lan]
ad_domain = tecmint.lan
krb5_realm = TECMINT.LAN
8. Ardından, aşağıdaki komutu vererek SSSD dosyası için uygun izinleri ekleyin:
sudo chmod 700 /etc/sssd/sssd.conf
9. Şimdi Realmd yapılandırma dosyasını açıp düzenleyin ve aşağıdaki satırları ekleyin.
sudo nano /etc/realmd.conf
Realmd.conf dosya alıntısı:
[active-directory]
os-name = Linux Ubuntu
os-version = 17.04
[service]
automatic-install = yes
[users]
default-home = /home/%d/%u
default-shell = /bin/bash
[tecmint.lan]
user-principal = yes
fully-qualified-names = no
10. Değiştirmeniz gereken son dosya Samba arka plan programına aittir. Düzenlemek için /etc/samba/smb.conf dosyasını açın ve aşağıdaki kod bloğunu, aşağıdaki kod bloğunda gösterildiği gibi dosyanın başına, [global] bölümünden sonra ekleyin. aşağıdaki resim.
workgroup = TECMINT
client signing = yes
client use spnego = yes
kerberos method = secrets and keytab
realm = TECMINT.LAN
security = ads
Alan adı değerini, özellikle de bölge değeri'ni alan adınızla eşleşecek şekilde değiştirdiğinizden emin olun ve yapılandırmanın uygun olup olmadığını kontrol etmek için testparm komutunu çalıştırın. dosya hiçbir hata içermiyor.
sudo testparm
11. Gerekli tüm değişiklikleri yaptıktan sonra, Kerberos kimlik doğrulamasını bir AD yönetici hesabı kullanarak test edin ve aşağıdaki komutları vererek bileti listeleyin.
sudo kinit [email
sudo klist
Adım 3: Ubuntu'yu Samba4 Realm'e katılın
12. Ubuntu makinesini Samba4 Active Directory'ye bağlamak için aşağıda gösterildiği gibi bir dizi komut uygulayın. Bölgeye bağlanmanın beklendiği gibi çalışması için yönetici ayrıcalıklarına sahip bir AD DC hesabının adını kullanın ve etki alanı adı değerini buna göre değiştirin.
sudo realm discover -v DOMAIN.TLD
sudo realm list
sudo realm join TECMINT.LAN -U ad_admin_user -v
sudo net ads join -k
13. Etki alanı bağlama gerçekleştikten sonra, makinedeki tüm etki alanı hesaplarının kimlik doğrulamasına izin verildiğinden emin olmak için aşağıdaki komutu çalıştırın.
sudo realm permit --all
Daha sonra aşağıdaki örneklerde gösterildiği gibi realm komutunu kullanarak bir etki alanı kullanıcı hesabının veya bir grubun erişimine izin verebilir veya erişimi reddedebilirsiniz.
sudo realm deny -a
realm permit --groups ‘domain.tld\Linux Admins’
realm permit [email
realm permit DOMAIN\\User2
14. RSAT araçlarının yüklü olduğu bir Windows makinesinden AD UC'yi açabilir ve Bilgisayarlar kapsayıcısına gidebilir ve bu ada sahip bir nesne hesabının olup olmadığını kontrol edebilirsiniz. makineniz oluşturuldu.
Adım 4: AD Hesapları Kimlik Doğrulamasını Yapılandırma
15. Etki alanı hesaplarıyla Ubuntu makinesinde kimlik doğrulaması yapmak için pam-auth-update komutunu kök ayrıcalıklarıyla çalıştırmanız ve otomatik olarak oluşturma seçeneği de dahil olmak üzere tüm PAM profillerini etkinleştirmeniz gerekir. İlk girişte her etki alanı hesabı için ana dizinler.
[boşluk] tuşuna basarak tüm girişleri kontrol edin ve yapılandırmayı uygulamak için tamam'a basın.
sudo pam-auth-update
16. Kimlik doğrulaması yapılmış alan adı kullanıcıları için otomatik olarak evler oluşturmak amacıyla sistemlerde /etc/pam.d/common-account dosyasını ve aşağıdaki satırı manuel olarak düzenleyin.
session required pam_mkhomedir.so skel=/etc/skel/ umask=0022
17. Linux'ta Active Directory kullanıcıları şifrelerini komut satırından değiştiremiyorsa, /etc/pam.d/common-password dosyasını açın ve dosyasını kaldırın. Şifre satırındaki use_authtok ifadesini kullanarak son olarak aşağıdaki alıntıdaki gibi görünün.
password [success=1 default=ignore] pam_winbind.so try_first_pass
18. Son olarak, aşağıdaki komutları vererek değişiklikleri uygulamak için Realmd ve SSSD hizmetini yeniden başlatın ve etkinleştirin:
sudo systemctl restart realmd sssd
sudo systemctl enable realmd sssd
19. Ubuntu makinesinin bölgeye başarılı bir şekilde entegre edilip edilmediğini test etmek için winbind paketini kurun ve aşağıda gösterildiği gibi etki alanı hesaplarını ve gruplarını listelemek için wbinfo komutunu çalıştırın.
sudo apt-get install winbind
wbinfo -u
wbinfo -g
20. Ayrıca, belirli bir etki alanı kullanıcısına veya grubuna karşı getent komutunu vererek Winbind nsswitch modülünü kontrol edin.
sudo getent passwd your_domain_user
sudo getent group ‘domain admins’
21. Aşağıdaki komutta gösterildiği gibi bir AD hesabı hakkında bilgi almak için Linux id komutunu da kullanabilirsiniz.
id tecmint_user
22. Samba4 AD hesabıyla Ubuntu ana bilgisayarında kimlik doğrulaması yapmak için su – komutundan sonra etki alanı kullanıcı adı parametresini kullanın. AD hesabı hakkında ek bilgi almak için id komutunu çalıştırın.
su - your_ad_user
Etki alanı kullanıcınızın mevcut çalışma dizinini görmek için pwd komutunu, şifreyi değiştirmek istiyorsanız passwd komutunu kullanın.
23. Ubuntu makinenizde root ayrıcalıklarına sahip bir alan hesabı kullanmak için aşağıdaki komutu vererek AD kullanıcı adını sudo sistem grubuna eklemeniz gerekir:
sudo usermod -aG sudo [email
Etki alanı hesabıyla Ubuntu'ya giriş yapın ve kök ayrıcalıklarını kontrol etmek için apt update komutunu çalıştırarak sisteminizi güncelleyin.
24. Bir etki alanı grubuna kök ayrıcalıkları eklemek için, visudo komutunu kullanarak /etc/sudoers düzenleme dosyasını açın ve aşağıdaki satırı gösterildiği gibi ekleyin. .
%domain\ [email ALL=(ALL:ALL) ALL
25. Ubuntu Masaüstü için etki alanı hesabı kimlik doğrulamasını kullanmak için, /usr/share/lightdm/lightdm.conf.d/50-ubuntu dosyasını düzenleyerek LightDM görüntü yöneticisini değiştirin. conf dosyasına aşağıdaki iki satırı ekleyin ve lightdm hizmetini yeniden başlatın veya değişiklikleri uygulayarak makineyi yeniden başlatın.
greeter-show-manual-login=true
greeter-hide-users=true
alan_adınız_kullanıcıadı veya alan_adiniz_kullanıcıadı@alan_adiniz.tld sözdizimini kullanarak bir etki alanı hesabıyla Ubuntu Masaüstü'nde oturum açın.
26. Samba AD hesaplarında kısa ad biçimini kullanmak için /etc/sssd/sssd.conf dosyasını düzenleyin, [sssd] 'e aşağıdaki satırı ekleyin Aşağıda gösterildiği gibi bloklayın.
full_name_format = %1$s
ve değişiklikleri uygulamak için SSSD arka plan programını yeniden başlatın.
sudo systemctl restart sssd
Bash isteminin, alan adı karşılığını eklemeden AD kullanıcısının kısa adına değişeceğini fark edeceksiniz.
27. sssd.conf dosyasında ayarlanan enumerate=true bağımsız değişkeni nedeniyle oturum açamamanız durumunda, aşağıdaki komutu vererek sssd önbelleğe alınmış veritabanını temizlemelisiniz. :
rm /var/lib/sss/db/cache_tecmint.lan.ldb
Bu kadar! Bu kılavuz esas olarak Samba4 Active Directory ile entegrasyona odaklanmış olsa da, aynı adımlar Ubuntu'yu Realmd ve SSSD hizmetleriyle Microsoft Windows Server Active Directory'ye entegre etmek için de uygulanabilir.