CentOS 7'yi Komut Satırından Samba4 AD'ye entegre edin - Bölüm 14


Bu kılavuz, Authconfig yazılımını kullanarak Grafik Kullanıcı Arayüzü olmayan bir CentOS 7 Sunucusunu komut satırından Samba4 Active Directory Etki Alanı Denetleyicisine nasıl entegre edebileceğinizi gösterecektir.

Bu tür kurulum, Samba tarafından tutulan tek bir merkezi hesap veritabanı sağlar ve AD kullanıcılarının ağ altyapısı üzerinden CentOS sunucusunda kimlik doğrulaması yapmasına olanak tanır.

Gereksinimler

  1. Ubuntu'da Samba4 ile Active Directory Altyapısı Oluşturun
  2. CentOS 7.3 Kurulum Kılavuzu

1. Adım: Samba4 AD DC için CentOS'u yapılandırın

1. CentOS 7 Sunucusunu bir Samba4 DC'ye birleştirmeye başlamadan önce, ağ arayüzünün DNS yoluyla etki alanını sorgulamak için düzgün şekilde yapılandırıldığından emin olmanız gerekir. hizmet.

Makine ağ arayüzlerinizi listelemek için ip adresi komutunu çalıştırın ve bu örnekte ens33 gibi arayüz adına nmtui-edit komutunu vererek düzenlenecek belirli NIC'yi seçin. aşağıda gösterilmiştir.

ip address
nmtui-edit ens33

2. Ağ arayüzü düzenleme için açıldığında, LAN'ınız için en uygun statik IPv4 yapılandırmalarını ekleyin ve DNS sunucuları için Samba AD Etki Alanı Denetleyicileri IP adreslerini kurduğunuzdan emin olun.

Ayrıca, alan adlarınızı dosyalanan arama alan adlarına ekleyin ve değişiklikleri uygulamak için [TAB] tuşunu kullanarak Tamam düğmesine gidin.

Dosyalanan arama etki alanları, bir etki alanı DNS kaydı için yalnızca kısa bir ad kullandığınızda etki alanı karşılığının DNS çözümlemesi (FQDN) tarafından otomatik olarak eklenmesini sağlar.

3. Son olarak, değişiklikleri uygulamak için ağ arka plan programını yeniden başlatın ve gösterildiği gibi alan adına ve alan denetleyicilerinin kısa adlarına karşı bir dizi ping komutu vererek DNS çözümlemesinin düzgün şekilde yapılandırılıp yapılandırılmadığını test edin. altında.

systemctl restart network.service
ping -c2 tecmint.lan
ping -c2 adc1
ping -c2 adc2

4. Ayrıca, aşağıdaki komutları vererek makinenizin ana bilgisayar adını yapılandırın ve ayarların doğru şekilde uygulanması için makineyi yeniden başlatın.

hostnamectl set-hostname your_hostname
init 6

Aşağıdaki komutlarla ana bilgisayar adının doğru şekilde uygulanıp uygulanmadığını doğrulayın.

cat /etc/hostname
hostname

5. Son olarak, aşağıdaki komutları root ayrıcalıklarıyla vererek yerel saati Samba4 AD DC ile senkronize edin.

yum install ntpdate
ntpdate domain.tld

Adım 2: CentOS 7 Sunucusunu Samba4 AD DC'ye Katılın

6. CentOS 7 sunucusunu Samba4 Active Directory'ye bağlamak için öncelikle aşağıdaki paketleri makinenize root ayrıcalıklarına sahip bir hesaptan yükleyin.

yum install authconfig samba-winbind samba-client samba-winbind-clients

7. CentOS 7 sunucusunu bir etki alanı denetleyicisine entegre etmek için authconfig-tui grafik yardımcı programını kök ayrıcalıklarıyla çalıştırın ve aşağıda açıklandığı şekilde aşağıdaki yapılandırmaları kullanın.

authconfig-tui

İlk bilgi istemi ekranında şunu seçin:

  • Kullanıcı Bilgileri'nde:

    • Winbind'i kullan
  • Kimlik Doğrulama sekmesinde [Boşluk] tuşuna basarak seçim yapın:

    • Gölge Şifre'yi kullanın
    • Winbind Kimlik Doğrulamasını kullanın
    • Yerel yetkilendirme yeterlidir

8. Winbind Ayarları ekranına devam etmek ve aşağıda gösterildiği gibi yapılandırmak için İleri'ye basın:

  • Güvenlik Modeli: reklamlar
  • Alan adı = ALANINIZ (büyük harf kullanın)
  • Etki Alanı Denetleyicileri=etki alanı makineleri FQDN'si (birden fazla ise virgülle ayrılır)
  • ADS Bölgesi=YOUR_DOMAIN.TLD
  • Şablon Kabuğu=/bin/bash

9. Alan adı birleştirme işlemini gerçekleştirmek için [tab] tuşunu kullanarak Alan Adına Katıl düğmesine gidin ve [Enter] tuşuna basın etki alanına katılmak için.

Bir sonraki ekran isteminde, makine hesabının AD'ye katılmasını gerçekleştirmek için yükseltilmiş ayrıcalıklara sahip bir Samba4 AD hesabının kimlik bilgilerini ekleyin ve ayarları uygulamak ve istemi kapatmak için Tamam'a basın.

Kullanıcı şifresini yazdığınızda kimlik bilgilerinin şifre ekranında gösterilmeyeceğini unutmayın. CentOS 7 makinesi için alan adı entegrasyonunu tamamlamak için kalan ekranda tekrar Tamam'a basın.

Belirli bir Samba AD Kuruluş Birimi'ne makine eklemeyi zorlamak için, hostname komutunu kullanarak makinenizin tam adını alın ve o kuruluş biriminde makinenizin adını içeren yeni bir Bilgisayar nesnesi oluşturun.

Samba4 AD'ye yeni bir nesne eklemenin en iyi yolu, etki alanına entegre edilmiş ve üzerinde RSAT araçları yüklü olan bir Windows makinesinden ADUC aracını kullanmaktır.

Önemli: Bir etki alanına katılmanın alternatif bir yöntemi, entegrasyon süreci üzerinde kapsamlı kontrol sağlayan authconfig komut satırını kullanmaktır.

Ancak bu yöntem, aşağıdaki komut alıntısında gösterildiği gibi çok sayıda parametresinde hatalara açıktır. Komut tek bir uzun satıra yazılmalıdır.

authconfig --enablewinbind --enablewinbindauth --smbsecurity ads --smbworkgroup=YOUR_DOMAIN --smbrealm YOUR_DOMAIN.TLD --smbservers=adc1.yourdomain.tld --krb5realm=YOUR_DOMAIN.TLD --enablewinbindoffline --enablewinbindkrb5 --winbindtemplateshell=/bin/bash--winbindjoin=domain_admin_user --update  --enablelocauthorize   --savebackup=/backups

10. Makine etki alanına katıldıktan sonra aşağıdaki komutu vererek winbind hizmetinin çalışır durumda olup olmadığını doğrulayın.

systemctl status winbind.service

11. Ardından, CentOS makine nesnesinin Samba4 AD'de başarıyla oluşturulup oluşturulmadığını kontrol edin. RSAT araçlarının yüklü olduğu bir Windows makinesindeki AD Kullanıcıları ve Bilgisayarlar aracını kullanın ve alan adınızın Bilgisayarlar kapsayıcısına gidin. CentOS 7 sunucunuzun adını taşıyan yeni bir AD bilgisayar hesabı nesnesi sağ düzlemde listelenmelidir.

12. Son olarak, samba ana yapılandırma dosyasını (/etc/samba/smb.conf) bir metin düzenleyiciyle açarak yapılandırmada ince ayarlar yapın ve aşağıdaki satırları sonuna ekleyin. [global] yapılandırma bloğunu aşağıda gösterildiği gibi kullanın:

winbind use default domain = true
winbind offline logon = true

13. AD hesapları için makinede yerel evler oluşturmak amacıyla, ilk oturum açışlarında aşağıdaki komutu çalıştırın.

authconfig --enablemkhomedir --update

14. Son olarak, değişiklikleri yansıtmak ve sunucuda bir AD hesabıyla oturum açarak etki alanına katılmayı doğrulamak için Samba arka plan programını yeniden başlatın. AD hesabının ana dizini otomatik olarak oluşturulmalıdır.

systemctl restart winbind
su - domain_account

15. Aşağıdaki komutlardan birini vererek etki alanı kullanıcılarını veya etki alanı gruplarını listeleyin.

wbinfo -u
wbinfo -g

16. Bir etki alanı kullanıcısı hakkında bilgi almak için aşağıdaki komutu çalıştırın.

wbinfo -i domain_user

17. Özet etki alanı bilgilerini görüntülemek için aşağıdaki komutu verin.

net ads info

Adım 3: Samba4 AD DC Hesabı ile CentOS'ta oturum açın

18. CentOS'ta bir etki alanı kullanıcısı ile kimlik doğrulaması yapmak için aşağıdaki komut satırı söz dizimlerinden birini kullanın.

su - ‘domain\domain_user’
su - domain\\domain_user

Veya winbind'in varsayılan etki alanını=true parametresinin samba yapılandırma dosyasına ayarlanması durumunda aşağıdaki sözdizimini kullanın.

su - domain_user
su - [email 

19. Bir etki alanı kullanıcısı veya grubuna kök ayrıcalıkları eklemek için sudoers dosyasını visudo komutunu kullanarak düzenleyin ve aşağıdaki satırları resimde gösterildiği gibi ekleyin. aşağıdaki ekran görüntüsü.

YOUR_DOMAIN\\domain_username       		 ALL=(ALL:ALL) ALL  	#For domain users
%YOUR_DOMAIN\\your_domain\  group       	 ALL=(ALL:ALL) ALL	#For domain groups

Veya winbind'in varsayılan etki alanı=true parametresinin samba yapılandırma dosyasına ayarlanması durumunda aşağıdaki alıntıyı kullanın.

domain_username 	        	 ALL=(ALL:ALL) ALL  	#For domain users
%your_domain\  group       		 ALL=(ALL:ALL) ALL	#For domain groups

20. Samba4 AD DC'ye karşı aşağıdaki komut dizisi de sorun giderme amacıyla yararlı olabilir:

wbinfo -p #Ping domain
wbinfo -n domain_account #Get the SID of a domain account
wbinfo -t  #Check trust relationship

21. Alandan ayrılmak için, yükseltilmiş ayrıcalıklara sahip bir alan adı hesabı kullanarak alan adınıza karşı aşağıdaki komutu çalıştırın. Makine hesabı AD'den kaldırıldıktan sonra, entegrasyon işleminden önce değişiklikleri geri almak için makineyi yeniden başlatın.

net ads leave -w DOMAIN -U domain_admin
init 6

Bu kadar! Bu prosedür esas olarak bir CentOS 7 sunucusunu bir Samba4 AD DC'ye birleştirmeye odaklanmış olsa da, burada açıklanan adımların aynıları bir CentOS sunucusunu Microsoft Windows Server 2012 Active Directory'ye entegre etmek için de geçerlidir.