Ubuntu 16.04'ü Samba ve Winbind ile Etki Alanı Üyesi olarak AD'ye entegre edin - Bölüm 8


Bu eğitimde, dosyalar ve dizinler için yerel ACL ile AD hesaplarının kimliğini doğrulamak amacıyla bir Ubuntu makinesinin Samba4 Active Directory alanına nasıl katılacağı açıklanmaktadır. etki alanı denetleyicisi kullanıcıları için birim paylaşımları oluşturmak ve eşlemek (dosya sunucusu görevi görmek).

Gereksinimler:

  1. Ubuntu'da Samba4 ile Active Directory Altyapısı Oluşturun

Adım 1: Ubuntu'yu Samba4 AD'ye Katmak için İlk Yapılandırmalar

1. Bir Ubuntu ana bilgisayarını Active Directory DC'ye eklemeye başlamadan önce, bazı hizmetlerin yerel makinede düzgün şekilde yapılandırıldığından emin olmanız gerekir.

Makinenizin önemli bir özelliği ana bilgisayar adını temsil eder. Etki alanına katılmadan önce hostnamectl komutunun yardımıyla veya /etc/hostname dosyasını manuel olarak düzenleyerek uygun bir makine adı ayarlayın.


hostnamectl set-hostname your_machine_short_name
cat /etc/hostname
hostnamectl

2. Bir sonraki adımda makine ağ ayarlarınızı açın ve uygun IP yapılandırmalarıyla manuel olarak düzenleyin. Buradaki en önemli ayarlar, alan adı denetleyicinize işaret eden DNS IP adresleridir.

/etc/network/interfaces dosyasını düzenleyin ve aşağıdaki ekran görüntüsünde gösterildiği gibi uygun AD IP adresleriniz ve alan adınızla birlikte dns-nameservers ifadesini ekleyin.

Ayrıca /etc/resolv.conf dosyasına aynı DNS IP adreslerinin ve alan adının eklendiğinden emin olun.

Yukarıdaki ekran görüntüsünde 192.168.1.254 ve 192.168.1.253, Samba4 AD DC ve Tecmint.lan<'ın IP adresleridir. alana entegre tüm makineler tarafından sorgulanacak AD alanının adını temsil eder.

3. Yeni ağ yapılandırmalarını uygulamak için ağ hizmetlerini yeniden başlatın veya makineyi yeniden başlatın. DNS çözümlemesinin beklendiği gibi çalışıp çalışmadığını test etmek için alan adınıza bir ping komutu verin.

AD DC, FQDN'siyle yeniden oynatılmalıdır. Ağınızda bir DHCP sunucusunu, LAN ana bilgisayarlarınıza IP ayarlarını otomatik olarak atayacak şekilde yapılandırdıysanız, DHCP sunucusu DNS yapılandırmalarına AD DC IP adresleri eklediğinizden emin olun.


systemctl restart networking.service
ping -c2 your_domain_name

4. Gereken son önemli yapılandırma, zaman senkronizasyonu ile temsil edilir. ntpdate paketini yükleyin, aşağıdaki komutları vererek zamanı AD DC ile sorgulayın ve senkronize edin.


sudo apt-get install ntpdate
sudo ntpdate -q your_domain_name
sudo ntpdate your_domain_name

5. Bir sonraki adımda Ubuntu makinesinin etki alanına tam olarak entegre olması için gereken yazılımı aşağıdaki komutu çalıştırarak yükleyin.


sudo apt-get install samba krb5-config krb5-user winbind libpam-winbind libnss-winbind

Kerberos paketleri kurulurken varsayılan bölgenizin adını girmeniz istenecektir. Alan adınızın adını büyük harflerle kullanın ve kuruluma devam etmek için Enter tuşuna basın.

6. Tüm paketlerin kurulumu tamamlandıktan sonra, Kerberos kimlik doğrulamasını bir AD yönetici hesabıyla test edin ve aşağıdaki komutları vererek bileti listeleyin.


kinit ad_admin_user
klist

Adım 2: Ubuntu'yu Samba4 AD DC'ye katılın

7. Ubuntu makinesini Samba4 Active Directory alanına entegre etmenin ilk adımı, Samba yapılandırma dosyasını düzenlemektir.

Aşağıdaki komutları çalıştırarak temiz bir konfigürasyona başlamak için paket yöneticisi tarafından sağlanan Samba'nın varsayılan konfigürasyon dosyasını yedekleyin.


mv /etc/samba/smb.conf /etc/samba/smb.conf.initial
nano /etc/samba/smb.conf 

Yeni Samba yapılandırma dosyasına aşağıdaki satırları ekleyin:


[global]
        workgroup = TECMINT
        realm = TECMINT.LAN
        netbios name = ubuntu
        security = ADS
        dns forwarder = 192.168.1.1

idmap config * : backend = tdb        
idmap config *:range = 50000-1000000
	
   template homedir = /home/%D/%U
   template shell = /bin/bash
   winbind use default domain = true
   winbind offline logon = false
   winbind nss info = rfc2307
   winbind enum users = yes
   winbind enum groups = yes

  vfs objects = acl_xattr
  map acl inherit = Yes
  store dos attributes = Yes

Çalışma grubu, bölge, netbios adı ve dns iletici değişkenlerini kendi özel ayarlarınızla değiştirin.

winbind varsayılan etki alanını kullan parametresi, winbind hizmetinin niteliksiz AD kullanıcı adlarını AD'nin kullanıcıları olarak ele almasına neden olur. AD hesaplarıyla çakışan yerel sistem hesap adlarınız varsa bu parametreyi atlamanız gerekir.

8. Şimdi tüm samba servislerini yeniden başlatmalı, gereksiz hizmetleri durdurup kaldırmalı ve aşağıdaki komutları vererek samba hizmetlerini sistem genelinde etkinleştirmelisiniz.


sudo systemctl restart smbd nmbd winbind
sudo systemctl stop samba-ad-dc
sudo systemctl enable smbd nmbd winbind

9. Aşağıdaki komutu vererek Ubuntu makinesini Samba4 AD DC'ye bağlayın. Bölgeye bağlanmanın beklendiği gibi çalışması için yönetici ayrıcalıklarına sahip bir AD DC hesabının adını kullanın.


sudo net ads join -U ad_admin_user

10. RSAT araçlarının yüklü olduğu bir Windows makinesinden AD UC'yi açabilir ve Bilgisayarlar kapsayıcısına gidebilirsiniz. Burada Ubuntu'ya katılan makineniz listelenmelidir.

3. Adım: AD Hesapları Kimlik Doğrulamasını Yapılandırma

11. Yerel makinedeki AD hesaplarının kimlik doğrulamasını gerçekleştirmek için, yerel makinedeki bazı hizmetleri ve dosyaları değiştirmeniz gerekir.

Öncelikle Ad Hizmeti Anahtarı (NSS) yapılandırma dosyasını açın ve düzenleyin.


sudo nano /etc/nsswitch.conf

Daha sonra aşağıdaki alıntıda gösterildiği gibi passwd ve grup satırları için winbind değerini ekleyin.


passwd:         compat winbind
group:          compat winbind

12. Ubuntu makinesinin bölgeye başarılı bir şekilde entegre edilip edilmediğini test etmek için, etki alanı hesaplarını ve gruplarını listelemek üzere wbinfo komutunu çalıştırın.


wbinfo -u
wbinfo -g

13. Ayrıca, getent komutunu vererek Winbind nsswitch modülünü kontrol edin ve sonuçları yalnızca çıktıyı daraltmak için grep gibi bir filtreden geçirin. belirli etki alanı kullanıcıları veya grupları.


sudo getent passwd| grep your_domain_user
sudo getent group|grep 'domain admins'

14. Etki alanı hesaplarıyla Ubuntu makinesinde kimlik doğrulaması yapmak için pam-auth-update komutunu kök ayrıcalıklarıyla çalıştırmanız ve winbind hizmeti için gereken tüm girişleri eklemeniz ve ilk girişte her etki alanı hesabı için otomatik olarak giriş dizinleri oluşturun.

[space] tuşuna basarak tüm girişleri kontrol edin ve yapılandırmayı uygulamak için tamam'a basın.


sudo pam-auth-update

15. Kimliği doğrulanmış alan adı kullanıcıları için otomatik olarak evler oluşturmak amacıyla Debian sistemlerinde /etc/pam.d/common-account dosyasını ve aşağıdaki satırı manuel olarak düzenlemeniz gerekir.


session    required    pam_mkhomedir.so    skel=/etc/skel/    umask=0022

16. Active Directory kullanıcılarının şifreyi Linux'ta komut satırından değiştirebilmesi için /etc/pam.d/common-password dosyasını açın dosyalayın ve use_authtok ifadesini şifre satırından kaldırarak son olarak aşağıdaki alıntıdaki gibi görünün.


password       [success=1 default=ignore]      pam_winbind.so try_first_pass

17. Samba4 AD hesabıyla Ubuntu ana bilgisayarında kimlik doğrulaması yapmak için su – komutundan sonra etki alanı kullanıcı adı parametresini kullanın. AD hesabı hakkında ek bilgi almak için id komutunu çalıştırın.


su - your_ad_user

Etki alanı kullanıcınızın geçerli dizinini görmek için pwd komutunu, şifreyi değiştirmek istiyorsanız passwd komutunu kullanın.

18. Ubuntu makinenizde kök ayrıcalıklarına sahip bir etki alanı hesabı kullanmak için aşağıdaki komutu vererek AD kullanıcı adını sudo sistem grubuna eklemeniz gerekir:


sudo usermod -aG sudo your_domain_user

Etki alanı hesabıyla Ubuntu'ya giriş yapın ve etki alanı kullanıcısının root ayrıcalıklarına sahip olup olmadığını kontrol etmek için apt-get update komutunu çalıştırarak sisteminizi güncelleyin.

19. Bir etki alanı grubuna kök ayrıcalıkları eklemek için, visudo komutunu kullanarak /etc/sudoers düzenleme dosyasını açın ve aşağıdaki satırı gösterildiği gibi ekleyin. aşağıdaki ekran görüntüsünde.


%YOUR_DOMAIN\\your_domain\  group       		 ALL=(ALL:ALL) ALL

Alan grubu adınızda bulunan boşluklardan veya ilk ters eğik çizgiden kaçmak için ters eğik çizgi kullanın. Yukarıdaki örnekte TECMINT alanına ait alan grubu “alan yöneticileri” olarak adlandırılmıştır.

Önceki yüzde işareti (%) sembolü, bir kullanıcı adından değil, bir gruptan bahsettiğimizi gösterir.

20. Ubuntu'nun grafiksel sürümünü çalıştırıyorsanız ve sistemde bir etki alanı kullanıcısı ile oturum açmak istiyorsanız, /usr/share/lightdm dosyasını düzenleyerek LightDM ekran yöneticisini değiştirmeniz gerekir. /lightdm.conf.d/50-ubuntu.conf dosyasına aşağıdaki satırları ekleyin ve değişiklikleri yansıtacak şekilde makineyi yeniden başlatın.


greeter-show-manual-login=true
greeter-hide-users=true

Artık alan_adiniz_kullanıcıadı veya alan_adiniz_kullaniciadi@alan_adi.tld veya alan_adiniz\alan_kullanici adi biçimini kullanarak bir etki alanı hesabıyla Ubuntu Masaüstünde oturum açabilmelidir. .