ປະສົມປະສານ Ubuntu 16.04 ໃຫ້ເປັນ AD ເປັນ Domain Domain ກັບ Samba ແລະ Winbind - Part 8


ບົດແນະ ນຳ ນີ້ອະທິບາຍວິທີການເຂົ້າເຄື່ອງຂອງ Ubuntu ເຂົ້າໃນໂດເມນ Samba 4 Active Directory ເພື່ອກວດສອບບັນຊີ AD ກັບ ACL ທ້ອງຖິ່ນ ສຳ ລັບເອກະສານແລະໄດເລກະທໍລີຫລືສ້າງແລະວາງແຜນແບ່ງປັນປະລິມານ ສຳ ລັບຜູ້ຄວບຄຸມໂດເມນ (ເຮັດ ໜ້າ ທີ່ເປັນ server server).

<

  • ສ້າງພື້ນຖານໂຄງລ່າງ Directory ທີ່ມີ Samba4 ໃນ Ubuntu
  • ຂັ້ນຕອນທີ 1: ການຕັ້ງຄ່າຂັ້ນເບື້ອງຕົ້ນເພື່ອເຂົ້າຮ່ວມ Ubuntu ກັບ Samba4 AD

    1. ກ່ອນທີ່ຈະເລີ່ມເຂົ້າຮ່ວມເປັນເຈົ້າພາບ Ubuntu ເຂົ້າໄປໃນ Active Directory DC ທ່ານ ຈຳ ເປັນຕ້ອງຮັບປະກັນວ່າບາງບໍລິການຖືກຕັ້ງຄ່າໃຫ້ຖືກຕ້ອງໃນເຄື່ອງທ້ອງຖິ່ນ.

    ລັກສະນະທີ່ ສຳ ຄັນຂອງເຄື່ອງຂອງທ່ານເປັນຕົວແທນຂອງຊື່ໂຮດ. ຕັ້ງຊື່ເຄື່ອງທີ່ຖືກຕ້ອງກ່ອນທີ່ຈະເຂົ້າຮ່ວມໂດເມນດ້ວຍການຊ່ວຍເຫຼືອຂອງ ຄຳ ສັ່ງ hostnamectl ຫຼືໂດຍການແກ້ໄຂດ້ວຍຕົນເອງ/etc/hostname file.

    # hostnamectl set-hostname your_machine_short_name
    # cat /etc/hostname
    # hostnamectl
    

    2. ໃນຂັ້ນຕອນຕໍ່ໄປ, ເປີດແລະແກ້ໄຂການຕັ້ງຄ່າເຄືອຂ່າຍຂອງເຄື່ອງຂອງທ່ານດ້ວຍການຕັ້ງຄ່າ IP ທີ່ຖືກຕ້ອງ. ການຕັ້ງຄ່າທີ່ ສຳ ຄັນທີ່ສຸດຢູ່ນີ້ແມ່ນທີ່ຢູ່ IP ຂອງ DNS ເຊິ່ງຊີ້ໃຫ້ຜູ້ຄວບຄຸມໂດເມນຂອງທ່ານ.

    ແກ້ໄຂເອກະສານ/etc/ເຄືອຂ່າຍ/ອິນເຕີເຟດແລະເພີ່ມ ຄຳ ສັ່ງ dns-nameservers ພ້ອມກັບທີ່ຢູ່ AD IP ແລະຊື່ໂດເມນທີ່ ເໝາະ ສົມຂອງທ່ານດັ່ງທີ່ສະແດງຢູ່ໃນ ໜ້າ ຈໍຂ້າງລຸ່ມນີ້.

    ນອກຈາກນັ້ນ, ໃຫ້ແນ່ໃຈວ່າທີ່ຢູ່ IP DNS ດຽວກັນແລະຊື່ໂດເມນຈະຖືກເພີ່ມເຂົ້າໃນເອກະສານ /etc/resolv.conf.

    ໃນ ໜ້າ ຈໍຂ້າງເທິງນີ້, 192.168.1.254 ແລະ 192.168.1.253 ແມ່ນທີ່ຢູ່ IP ຂອງ Samba4 AD DC ແລະ Tecmint.lan ເປັນຕົວແທນຊື່ໂດເມນ AD ເຊິ່ງຈະຖືກສອບຖາມໂດຍເຄື່ອງຈັກທັງ ໝົດ ທີ່ປະສົມປະສານເຂົ້າໃນໂລກ.

    3. ເລີ່ມການບໍລິການເຄືອຂ່າຍຄືນ ໃໝ່ ຫຼືເລີ່ມຕົ້ນ ໃໝ່ ເຄື່ອງເພື່ອປະຕິບັດການຕັ້ງຄ່າເຄືອຂ່າຍ ໃໝ່. ອອກຄໍາສັ່ງ ping ຕໍ່ຊື່ໂດເມນຂອງທ່ານເພື່ອທົດສອບວ່າການແກ້ໄຂບັນຫາ DNS ເຮັດວຽກໄດ້ຕາມທີ່ຄາດໄວ້.

    AD DC ຄວນຈະກັບຄືນສູ່ FQDN ຂອງມັນ. ໃນກໍລະນີທີ່ທ່ານໄດ້ຕັ້ງຄ່າ server DHCP ໃນເຄືອຂ່າຍຂອງທ່ານເພື່ອ ກຳ ນົດຄ່າ IP ໂດຍອັດຕະໂນມັດ ສຳ ລັບເຈົ້າຂອງ LAN ຂອງທ່ານ, ໃຫ້ແນ່ໃຈວ່າທ່ານເພີ່ມທີ່ຢູ່ AD DC IP ເຂົ້າໃນການຕັ້ງຄ່າ DNS ຂອງ DHCP server.

    # systemctl restart networking.service
    # ping -c2 your_domain_name
    

    4. ການຕັ້ງຄ່າທີ່ ສຳ ຄັນສຸດທ້າຍທີ່ຕ້ອງການແມ່ນການສະແດງເວລາ. ຕິດຕັ້ງແພັກເກັດ ntpdate, ເວລາສອບຖາມແລະຊິ້ງຂໍ້ມູນກັບ AD DC ໂດຍການອອກ ຄຳ ສັ່ງລຸ່ມນີ້.

    $ sudo apt-get install ntpdate
    $ sudo ntpdate -q your_domain_name
    $ sudo ntpdate your_domain_name
    

    5. ໃນຂັ້ນຕອນຕໍ່ໄປໃຫ້ຕິດຕັ້ງຊອບແວທີ່ຕ້ອງການໂດຍເຄື່ອງ Ubuntu ເພື່ອປະສົມປະສານເຂົ້າໃນໂດເມນໂດຍການເຮັດວຽກຕາມ ຄຳ ສັ່ງລຸ່ມນີ້.

    $ sudo apt-get install samba krb5-config krb5-user winbind libpam-winbind libnss-winbind
    

    ໃນຂະນະທີ່ແພກເກດຂອງ Kerberos ກຳ ລັງຕິດຕັ້ງທ່ານຄວນຖືກຖາມໃຫ້ໃສ່ຊື່ຂອງ realm default ຂອງທ່ານ. ໃຊ້ຊື່ໂດເມນຂອງທ່ານດ້ວຍໂຕພິມໃຫຍ່ແລະກົດປຸ່ມ Enter ເພື່ອ ດຳ ເນີນການຕິດຕັ້ງຕໍ່ໄປ.

    6. ຫຼັງຈາກການຕິດຕັ້ງທຸກຊຸດ ສຳ ເລັດແລ້ວ, ທົດສອບການກວດສອບຄວາມຖືກຕ້ອງຂອງ Kerberos ກັບບັນຊີການບໍລິຫານ AD ແລະລົງລາຍຊື່ປີ້ໂດຍອອກ ຄຳ ສັ່ງດ້ານລຸ່ມ.

    # kinit ad_admin_user
    # klist
    

    ຂັ້ນຕອນທີ 2: ເຂົ້າຮ່ວມ Ubuntu ກັບ Samba4 AD DC

    7. ຂັ້ນຕອນ ທຳ ອິດໃນການລວມເອົາເຄື່ອງ Ubuntu ເຂົ້າໃນໂດເມນ Samba 4 Active Directory ແມ່ນການດັດແກ້ເອກະສານການຕັ້ງຄ່າຂອງ Samba.

    ສຳ ຮອງເອກະສານການຕັ້ງຄ່າເລີ່ມຕົ້ນຂອງ Samba, ໃຫ້ໂດຍຜູ້ຈັດການຊຸດ, ເພື່ອເລີ່ມຕົ້ນດ້ວຍການຕັ້ງຄ່າທີ່ສະອາດໂດຍການແລ່ນ ຄຳ ສັ່ງຕໍ່ໄປນີ້.

    # mv /etc/samba/smb.conf /etc/samba/smb.conf.initial
    # nano /etc/samba/smb.conf 
    

    ໃນເອກະສານການຕັ້ງຄ່າ Samba ໃໝ່ ຕື່ມໃສ່ສາຍທາງລຸ່ມນີ້:

    [global]
            workgroup = TECMINT
            realm = TECMINT.LAN
            netbios name = ubuntu
            security = ADS
            dns forwarder = 192.168.1.1
    
    idmap config * : backend = tdb        
    idmap config *:range = 50000-1000000
    	
       template homedir = /home/%D/%U
       template shell = /bin/bash
       winbind use default domain = true
       winbind offline logon = false
       winbind nss info = rfc2307
       winbind enum users = yes
       winbind enum groups = yes
    
      vfs objects = acl_xattr
      map acl inherit = Yes
      store dos attributes = Yes
    

    ປ່ຽນແທນກຸ່ມວຽກ, realm, ຊື່ netbios ແລະຕົວແປຕໍ່ໄປ ໜ້າ dns ກັບການຕັ້ງຄ່າທີ່ ກຳ ຫນົດເອງ.

    winbind ໃຊ້ພາລາມິເຕີໂດເມນເລີ່ມຕົ້ນເຮັດໃຫ້ບໍລິການ winbind ຮັກສາຊື່ຜູ້ໃຊ້ AD ທີ່ບໍ່ມີເງື່ອນໄຂໃນຖານະຜູ້ໃຊ້ AD. ທ່ານຄວນຈະຍົກເວັ້ນພາລາມິເຕີນີ້ຖ້າທ່ານມີຊື່ບັນຊີລະບົບທ້ອງຖິ່ນທີ່ມີບັນຊີ AD ທີ່ຊໍ້າຊ້ອນ.

    8. ຕອນນີ້ທ່ານຄວນເລີ່ມຕົ້ນ daemons samba ທັງ ໝົດ ແລ້ວຢຸດແລະເອົາບໍລິການທີ່ບໍ່ ຈຳ ເປັນອອກແລະເປີດໃຊ້ລະບົບການບໍລິການຂອງ samba ໃນລະບົບໂດຍອອກ ຄຳ ສັ່ງດ້ານລຸ່ມ.

    $ sudo systemctl restart smbd nmbd winbind
    $ sudo systemctl stop samba-ad-dc
    $ sudo systemctl enable smbd nmbd winbind
    

    9. ເຂົ້າຮ່ວມເຄື່ອງຂອງອູບັນຕູກັບ Samba4 AD DC ໂດຍອອກ ຄຳ ສັ່ງຕໍ່ໄປນີ້. ໃຊ້ຊື່ຂອງບັນຊີ AD DC ທີ່ມີສິດພິເສດຂອງຜູ້ເບິ່ງແຍງເພື່ອໃຫ້ການຜູກມັດກັບ realm ເຮັດວຽກໄດ້ຕາມຄາດ ໝາຍ.

    $ sudo net ads join -U ad_admin_user
    

    10. ຈາກເຄື່ອງ Windows ທີ່ມີເຄື່ອງມື RSAT ຕິດຕັ້ງທ່ານສາມາດເປີດ AD UC ແລະ ນຳ ທາງໄປທີ່ຄອມພິວເຕີ້ຄອມພິວເຕີ້. ທີ່ນີ້ເຄື່ອງທີ່ເຂົ້າຮ່ວມ Ubuntu ຂອງທ່ານຄວນຈະຖືກລະບຸໄວ້.

    ຂັ້ນຕອນທີ 3: ຕັ້ງຄ່າການກວດສອບບັນຊີ AD

    11. ເພື່ອປະຕິບັດການກວດສອບຄວາມຖືກຕ້ອງ ສຳ ລັບບັນຊີ AD ຢູ່ໃນເຄື່ອງຂອງທ້ອງຖິ່ນ, ທ່ານ ຈຳ ເປັນຕ້ອງດັດແປງບາງບໍລິການແລະແຟ້ມຕ່າງໆຢູ່ໃນເຄື່ອງຂອງທ້ອງຖິ່ນ.

    ກ່ອນອື່ນ ໝົດ, ເປີດແລະແກ້ໄຂເອກະສານການຕັ້ງຄ່າຊື່ບໍລິການປ່ຽນ (NSS).

    $ sudo nano /etc/nsswitch.conf
    

    ຕໍ່ໄປຈະເຫັນມູນຄ່າ winbind ເພີ່ມເຕີມຕໍ່ ສຳ ລັບເສັ້ນທາງ passwd ແລະກຸ່ມດັ່ງທີ່ສະແດງຢູ່ໃນຂໍ້ຄວາມຂ້າງລຸ່ມນີ້.

    passwd:         compat winbind
    group:          compat winbind
    

    12. ເພື່ອທົດສອບວ່າເຄື່ອງ Ubuntu ຖືກປະສົມປະສານຢ່າງ ສຳ ເລັດຜົນກັບ ຄຳ ສັ່ງ wbinfo ທີ່ແທ້ຈິງເພື່ອລົງບັນຊີໂດເມນແລະກຸ່ມ.

    $ wbinfo -u
    $ wbinfo -g
    

    13. ພ້ອມກັນນີ້, ກວດເບິ່ງໂມດູນ Winbind nsswitch ໂດຍການອອກ ຄຳ ສັ່ງທີ່ໄດ້ຮັບແລະເອົາຜົນໄດ້ຮັບຜ່ານຕົວກອງເຊັ່ນ grep ເພື່ອເຮັດໃຫ້ຜົນຜະລິດແຄບລົງພຽງແຕ່ ສຳ ລັບຜູ້ໃຊ້ຫລືກຸ່ມໂດເມນສະເພາະ.

    $ sudo getent passwd| grep your_domain_user
    $ sudo getent group|grep 'domain admins'
    

    14. ເພື່ອກວດສອບຄວາມຖືກຕ້ອງໃນເຄື່ອງຂອງອູບັນຕູກັບບັນຊີໂດເມນທ່ານ ຈຳ ເປັນຕ້ອງ ດຳ ເນີນການ ຄຳ ສັ່ງ pam-auth-update ດ້ວຍສິດທິພິເສດຮາກແລະເພີ່ມລາຍການທັງ ໝົດ ທີ່ ຈຳ ເປັນ ສຳ ລັບການບໍລິການ winbind ແລະສ້າງລາຍການເຮືອນໂດຍອັດຕະໂນມັດ ສຳ ລັບບັນຊີໂດເມນແຕ່ລະຄັ້ງເມື່ອເຂົ້າສູ່ລະບົບຄັ້ງ ທຳ ອິດ.

    ກວດເບິ່ງລາຍການທັງ ໝົດ ໂດຍກົດ [space] key ແລະກົດ ok ເພື່ອສະ ໝັກ ການຕັ້ງຄ່າ.

    $ sudo pam-auth-update
    

    15. ໃນລະບົບ Debian ທ່ານ ຈຳ ເປັນຕ້ອງດັດແກ້ເອກະສານ /etc/pam.d/common-account ດ້ວຍຕົນເອງແລະແຖວຕໍ່ໄປນີ້ເພື່ອສ້າງເຮືອນໂດຍອັດຕະໂນມັດ ສຳ ລັບຜູ້ໃຊ້ໂດເມນທີ່ຖືກກວດສອບ.

    session    required    pam_mkhomedir.so    skel=/etc/skel/    umask=0022
    

    16. ເພື່ອໃຫ້ຜູ້ໃຊ້ Active Directory ສາມາດປ່ຽນລະຫັດຜ່ານຈາກບັນດາ ຄຳ ສັ່ງໃນ Linux open /etc/pam.d/common-password file ແລະເອົາ ຄຳ ຖະແຫຼງການ use_authtok ອອກຈາກເສັ້ນລະຫັດຜ່ານໄປຈົນສຸດທ້າຍເບິ່ງຄືກັບຂໍ້ຄວາມຂ້າງລຸ່ມນີ້.

    password       [success=1 default=ignore]      pam_winbind.so try_first_pass
    

    17. ເພື່ອກວດສອບຄວາມຖືກຕ້ອງໃນ Ubuntu host ດ້ວຍບັນຊີ Samba4 AD ໃຊ້ຕົວ ກຳ ນົດການໃຊ້ຊື່ໂດເມນຫຼັງ su su. ດໍາເນີນການຄໍາສັ່ງ id ເພື່ອໃຫ້ໄດ້ຮັບຂໍ້ມູນພິເສດກ່ຽວກັບບັນຊີ AD.

    $ su - your_ad_user
    

    ໃຊ້ຄໍາສັ່ງ pwd ເພື່ອເບິ່ງລາຍຊື່ຜູ້ໃຊ້ໂດເມນຂອງທ່ານໃນປະຈຸບັນແລະຄໍາສັ່ງ passwd ຖ້າທ່ານຕ້ອງການປ່ຽນລະຫັດຜ່ານ.

    18. ເພື່ອໃຊ້ບັນຊີໂດເມນທີ່ມີສິດທິພິເສດໃນເຄື່ອງ Ubuntu ຂອງທ່ານ, ທ່ານຕ້ອງເພີ່ມຊື່ຜູ້ໃຊ້ AD ເຂົ້າໃນກຸ່ມລະບົບ sudo ໂດຍການອອກ ຄຳ ສັ່ງຂ້າງລຸ່ມນີ້:

    $ sudo usermod -aG sudo your_domain_user
    

    ເຂົ້າສູ່ລະບົບອູບັນຕູກັບບັນຊີໂດເມນແລະປັບປຸງລະບົບຂອງທ່ານໂດຍການໃຊ້ ຄຳ ສັ່ງປັບປຸງ apt-get ເພື່ອກວດເບິ່ງວ່າຜູ້ໃຊ້ໂດເມນມີສິດທິພິເສດຮາກຫລືບໍ່.

    19. ເພື່ອເພີ່ມສິດທິພິເສດ ສຳ ລັບກຸ່ມໂດເມນ, ເປີດເອກະສານແກ້ໄຂທ້າຍ/etc/sudoers ໂດຍໃຊ້ ຄຳ ສັ່ງ visudo ແລະເພີ່ມແຖວຕໍ່ໄປນີ້ດັ່ງທີ່ສະແດງຢູ່ໃນ ໜ້າ ຈໍຂ້າງລຸ່ມນີ້.

    %YOUR_DOMAIN\\your_domain\  group       		 ALL=(ALL:ALL) ALL
    

    ໃຊ້ backslashes ເພື່ອຫລົບ ໜີ ບັນດາສະຖານທີ່ທີ່ມີຢູ່ໃນຊື່ກຸ່ມຂອງໂດເມນຂອງທ່ານຫຼືເພື່ອຫຼົບ ໜີ backslash ທຳ ອິດ. ໃນຕົວຢ່າງຂ້າງເທິງກຸ່ມໂດເມນ ສຳ ລັບ TECMINT realm ແມ່ນຊື່ວ່າ "ໂດເມນ ສຳ ຮອງ".

    ອັດຕາສ່ວນຮ້ອຍກ່ອນ ໜ້າ (%) ສັນຍາລັກຊີ້ໃຫ້ເຫັນວ່າພວກເຮົາ ກຳ ລັງອ້າງອີງເຖິງກຸ່ມ, ບໍ່ແມ່ນຊື່ຜູ້ໃຊ້.

    20. ໃນກໍລະນີທີ່ທ່ານ ກຳ ລັງໃຊ້ງານ graphical ຮູບແບບຂອງ Ubuntu ແລະທ່ານຕ້ອງການທີ່ຈະເຂົ້າສູ່ລະບົບກັບຜູ້ໃຊ້ໂດເມນ, ທ່ານ ຈຳ ເປັນຕ້ອງດັດແປງຜູ້ຈັດການສະແດງ LightDM ໂດຍການດັດແກ້ /usr/share/lightdm/lightdm.conf.d/50-ubuntu .conf file, ຕື່ມສາຍຕໍ່ໄປນີ້ແລະ reboot ເຄື່ອງເພື່ອສະທ້ອນການປ່ຽນແປງ.

    greeter-show-manual-login=true
    greeter-hide-users=true
    

    ດຽວນີ້ມັນຄວນຈະສາມາດເຮັດການເຂົ້າສູ່ລະບົບໃນ Ubuntu Desktop ດ້ວຍບັນຊີໂດເມນໂດຍໃຊ້ທັງ your_domain_username ຫຼື [email _domain.tld ຫຼື your_domain\your_domain_username.