ປະສົມປະສານ Ubuntu 16.04 ໃຫ້ເປັນ AD ເປັນ Domain Domain ກັບ Samba ແລະ Winbind - Part 8
ບົດແນະ ນຳ ນີ້ອະທິບາຍວິທີການເຂົ້າເຄື່ອງຂອງ Ubuntu ເຂົ້າໃນໂດເມນ Samba 4 Active Directory ເພື່ອກວດສອບບັນຊີ AD ກັບ ACL ທ້ອງຖິ່ນ ສຳ ລັບເອກະສານແລະໄດເລກະທໍລີຫລືສ້າງແລະວາງແຜນແບ່ງປັນປະລິມານ ສຳ ລັບຜູ້ຄວບຄຸມໂດເມນ (ເຮັດ ໜ້າ ທີ່ເປັນ server server).
<
ຂັ້ນຕອນທີ 1: ການຕັ້ງຄ່າຂັ້ນເບື້ອງຕົ້ນເພື່ອເຂົ້າຮ່ວມ Ubuntu ກັບ Samba4 AD
1. ກ່ອນທີ່ຈະເລີ່ມເຂົ້າຮ່ວມເປັນເຈົ້າພາບ Ubuntu ເຂົ້າໄປໃນ Active Directory DC ທ່ານ ຈຳ ເປັນຕ້ອງຮັບປະກັນວ່າບາງບໍລິການຖືກຕັ້ງຄ່າໃຫ້ຖືກຕ້ອງໃນເຄື່ອງທ້ອງຖິ່ນ.
ລັກສະນະທີ່ ສຳ ຄັນຂອງເຄື່ອງຂອງທ່ານເປັນຕົວແທນຂອງຊື່ໂຮດ. ຕັ້ງຊື່ເຄື່ອງທີ່ຖືກຕ້ອງກ່ອນທີ່ຈະເຂົ້າຮ່ວມໂດເມນດ້ວຍການຊ່ວຍເຫຼືອຂອງ ຄຳ ສັ່ງ hostnamectl ຫຼືໂດຍການແກ້ໄຂດ້ວຍຕົນເອງ/etc/hostname file.
# hostnamectl set-hostname your_machine_short_name # cat /etc/hostname # hostnamectl
2. ໃນຂັ້ນຕອນຕໍ່ໄປ, ເປີດແລະແກ້ໄຂການຕັ້ງຄ່າເຄືອຂ່າຍຂອງເຄື່ອງຂອງທ່ານດ້ວຍການຕັ້ງຄ່າ IP ທີ່ຖືກຕ້ອງ. ການຕັ້ງຄ່າທີ່ ສຳ ຄັນທີ່ສຸດຢູ່ນີ້ແມ່ນທີ່ຢູ່ IP ຂອງ DNS ເຊິ່ງຊີ້ໃຫ້ຜູ້ຄວບຄຸມໂດເມນຂອງທ່ານ.
ແກ້ໄຂເອກະສານ/etc/ເຄືອຂ່າຍ/ອິນເຕີເຟດແລະເພີ່ມ ຄຳ ສັ່ງ dns-nameservers ພ້ອມກັບທີ່ຢູ່ AD IP ແລະຊື່ໂດເມນທີ່ ເໝາະ ສົມຂອງທ່ານດັ່ງທີ່ສະແດງຢູ່ໃນ ໜ້າ ຈໍຂ້າງລຸ່ມນີ້.
ນອກຈາກນັ້ນ, ໃຫ້ແນ່ໃຈວ່າທີ່ຢູ່ IP DNS ດຽວກັນແລະຊື່ໂດເມນຈະຖືກເພີ່ມເຂົ້າໃນເອກະສານ /etc/resolv.conf.
ໃນ ໜ້າ ຈໍຂ້າງເທິງນີ້, 192.168.1.254 ແລະ 192.168.1.253 ແມ່ນທີ່ຢູ່ IP ຂອງ Samba4 AD DC ແລະ Tecmint.lan ເປັນຕົວແທນຊື່ໂດເມນ AD ເຊິ່ງຈະຖືກສອບຖາມໂດຍເຄື່ອງຈັກທັງ ໝົດ ທີ່ປະສົມປະສານເຂົ້າໃນໂລກ.
3. ເລີ່ມການບໍລິການເຄືອຂ່າຍຄືນ ໃໝ່ ຫຼືເລີ່ມຕົ້ນ ໃໝ່ ເຄື່ອງເພື່ອປະຕິບັດການຕັ້ງຄ່າເຄືອຂ່າຍ ໃໝ່. ອອກຄໍາສັ່ງ ping ຕໍ່ຊື່ໂດເມນຂອງທ່ານເພື່ອທົດສອບວ່າການແກ້ໄຂບັນຫາ DNS ເຮັດວຽກໄດ້ຕາມທີ່ຄາດໄວ້.
AD DC ຄວນຈະກັບຄືນສູ່ FQDN ຂອງມັນ. ໃນກໍລະນີທີ່ທ່ານໄດ້ຕັ້ງຄ່າ server DHCP ໃນເຄືອຂ່າຍຂອງທ່ານເພື່ອ ກຳ ນົດຄ່າ IP ໂດຍອັດຕະໂນມັດ ສຳ ລັບເຈົ້າຂອງ LAN ຂອງທ່ານ, ໃຫ້ແນ່ໃຈວ່າທ່ານເພີ່ມທີ່ຢູ່ AD DC IP ເຂົ້າໃນການຕັ້ງຄ່າ DNS ຂອງ DHCP server.
# systemctl restart networking.service # ping -c2 your_domain_name
4. ການຕັ້ງຄ່າທີ່ ສຳ ຄັນສຸດທ້າຍທີ່ຕ້ອງການແມ່ນການສະແດງເວລາ. ຕິດຕັ້ງແພັກເກັດ ntpdate, ເວລາສອບຖາມແລະຊິ້ງຂໍ້ມູນກັບ AD DC ໂດຍການອອກ ຄຳ ສັ່ງລຸ່ມນີ້.
$ sudo apt-get install ntpdate $ sudo ntpdate -q your_domain_name $ sudo ntpdate your_domain_name
5. ໃນຂັ້ນຕອນຕໍ່ໄປໃຫ້ຕິດຕັ້ງຊອບແວທີ່ຕ້ອງການໂດຍເຄື່ອງ Ubuntu ເພື່ອປະສົມປະສານເຂົ້າໃນໂດເມນໂດຍການເຮັດວຽກຕາມ ຄຳ ສັ່ງລຸ່ມນີ້.
$ sudo apt-get install samba krb5-config krb5-user winbind libpam-winbind libnss-winbind
ໃນຂະນະທີ່ແພກເກດຂອງ Kerberos ກຳ ລັງຕິດຕັ້ງທ່ານຄວນຖືກຖາມໃຫ້ໃສ່ຊື່ຂອງ realm default ຂອງທ່ານ. ໃຊ້ຊື່ໂດເມນຂອງທ່ານດ້ວຍໂຕພິມໃຫຍ່ແລະກົດປຸ່ມ Enter ເພື່ອ ດຳ ເນີນການຕິດຕັ້ງຕໍ່ໄປ.
6. ຫຼັງຈາກການຕິດຕັ້ງທຸກຊຸດ ສຳ ເລັດແລ້ວ, ທົດສອບການກວດສອບຄວາມຖືກຕ້ອງຂອງ Kerberos ກັບບັນຊີການບໍລິຫານ AD ແລະລົງລາຍຊື່ປີ້ໂດຍອອກ ຄຳ ສັ່ງດ້ານລຸ່ມ.
# kinit ad_admin_user # klist
ຂັ້ນຕອນທີ 2: ເຂົ້າຮ່ວມ Ubuntu ກັບ Samba4 AD DC
7. ຂັ້ນຕອນ ທຳ ອິດໃນການລວມເອົາເຄື່ອງ Ubuntu ເຂົ້າໃນໂດເມນ Samba 4 Active Directory ແມ່ນການດັດແກ້ເອກະສານການຕັ້ງຄ່າຂອງ Samba.
ສຳ ຮອງເອກະສານການຕັ້ງຄ່າເລີ່ມຕົ້ນຂອງ Samba, ໃຫ້ໂດຍຜູ້ຈັດການຊຸດ, ເພື່ອເລີ່ມຕົ້ນດ້ວຍການຕັ້ງຄ່າທີ່ສະອາດໂດຍການແລ່ນ ຄຳ ສັ່ງຕໍ່ໄປນີ້.
# mv /etc/samba/smb.conf /etc/samba/smb.conf.initial # nano /etc/samba/smb.conf
ໃນເອກະສານການຕັ້ງຄ່າ Samba ໃໝ່ ຕື່ມໃສ່ສາຍທາງລຸ່ມນີ້:
[global] workgroup = TECMINT realm = TECMINT.LAN netbios name = ubuntu security = ADS dns forwarder = 192.168.1.1 idmap config * : backend = tdb idmap config *:range = 50000-1000000 template homedir = /home/%D/%U template shell = /bin/bash winbind use default domain = true winbind offline logon = false winbind nss info = rfc2307 winbind enum users = yes winbind enum groups = yes vfs objects = acl_xattr map acl inherit = Yes store dos attributes = Yes
ປ່ຽນແທນກຸ່ມວຽກ, realm, ຊື່ netbios ແລະຕົວແປຕໍ່ໄປ ໜ້າ dns ກັບການຕັ້ງຄ່າທີ່ ກຳ ຫນົດເອງ.
winbind ໃຊ້ພາລາມິເຕີໂດເມນເລີ່ມຕົ້ນເຮັດໃຫ້ບໍລິການ winbind ຮັກສາຊື່ຜູ້ໃຊ້ AD ທີ່ບໍ່ມີເງື່ອນໄຂໃນຖານະຜູ້ໃຊ້ AD. ທ່ານຄວນຈະຍົກເວັ້ນພາລາມິເຕີນີ້ຖ້າທ່ານມີຊື່ບັນຊີລະບົບທ້ອງຖິ່ນທີ່ມີບັນຊີ AD ທີ່ຊໍ້າຊ້ອນ.
8. ຕອນນີ້ທ່ານຄວນເລີ່ມຕົ້ນ daemons samba ທັງ ໝົດ ແລ້ວຢຸດແລະເອົາບໍລິການທີ່ບໍ່ ຈຳ ເປັນອອກແລະເປີດໃຊ້ລະບົບການບໍລິການຂອງ samba ໃນລະບົບໂດຍອອກ ຄຳ ສັ່ງດ້ານລຸ່ມ.
$ sudo systemctl restart smbd nmbd winbind $ sudo systemctl stop samba-ad-dc $ sudo systemctl enable smbd nmbd winbind
9. ເຂົ້າຮ່ວມເຄື່ອງຂອງອູບັນຕູກັບ Samba4 AD DC ໂດຍອອກ ຄຳ ສັ່ງຕໍ່ໄປນີ້. ໃຊ້ຊື່ຂອງບັນຊີ AD DC ທີ່ມີສິດພິເສດຂອງຜູ້ເບິ່ງແຍງເພື່ອໃຫ້ການຜູກມັດກັບ realm ເຮັດວຽກໄດ້ຕາມຄາດ ໝາຍ.
$ sudo net ads join -U ad_admin_user
10. ຈາກເຄື່ອງ Windows ທີ່ມີເຄື່ອງມື RSAT ຕິດຕັ້ງທ່ານສາມາດເປີດ AD UC ແລະ ນຳ ທາງໄປທີ່ຄອມພິວເຕີ້ຄອມພິວເຕີ້. ທີ່ນີ້ເຄື່ອງທີ່ເຂົ້າຮ່ວມ Ubuntu ຂອງທ່ານຄວນຈະຖືກລະບຸໄວ້.
ຂັ້ນຕອນທີ 3: ຕັ້ງຄ່າການກວດສອບບັນຊີ AD
11. ເພື່ອປະຕິບັດການກວດສອບຄວາມຖືກຕ້ອງ ສຳ ລັບບັນຊີ AD ຢູ່ໃນເຄື່ອງຂອງທ້ອງຖິ່ນ, ທ່ານ ຈຳ ເປັນຕ້ອງດັດແປງບາງບໍລິການແລະແຟ້ມຕ່າງໆຢູ່ໃນເຄື່ອງຂອງທ້ອງຖິ່ນ.
ກ່ອນອື່ນ ໝົດ, ເປີດແລະແກ້ໄຂເອກະສານການຕັ້ງຄ່າຊື່ບໍລິການປ່ຽນ (NSS).
$ sudo nano /etc/nsswitch.conf
ຕໍ່ໄປຈະເຫັນມູນຄ່າ winbind ເພີ່ມເຕີມຕໍ່ ສຳ ລັບເສັ້ນທາງ passwd ແລະກຸ່ມດັ່ງທີ່ສະແດງຢູ່ໃນຂໍ້ຄວາມຂ້າງລຸ່ມນີ້.
passwd: compat winbind group: compat winbind
12. ເພື່ອທົດສອບວ່າເຄື່ອງ Ubuntu ຖືກປະສົມປະສານຢ່າງ ສຳ ເລັດຜົນກັບ ຄຳ ສັ່ງ wbinfo ທີ່ແທ້ຈິງເພື່ອລົງບັນຊີໂດເມນແລະກຸ່ມ.
$ wbinfo -u $ wbinfo -g
13. ພ້ອມກັນນີ້, ກວດເບິ່ງໂມດູນ Winbind nsswitch ໂດຍການອອກ ຄຳ ສັ່ງທີ່ໄດ້ຮັບແລະເອົາຜົນໄດ້ຮັບຜ່ານຕົວກອງເຊັ່ນ grep ເພື່ອເຮັດໃຫ້ຜົນຜະລິດແຄບລົງພຽງແຕ່ ສຳ ລັບຜູ້ໃຊ້ຫລືກຸ່ມໂດເມນສະເພາະ.
$ sudo getent passwd| grep your_domain_user $ sudo getent group|grep 'domain admins'
14. ເພື່ອກວດສອບຄວາມຖືກຕ້ອງໃນເຄື່ອງຂອງອູບັນຕູກັບບັນຊີໂດເມນທ່ານ ຈຳ ເປັນຕ້ອງ ດຳ ເນີນການ ຄຳ ສັ່ງ pam-auth-update ດ້ວຍສິດທິພິເສດຮາກແລະເພີ່ມລາຍການທັງ ໝົດ ທີ່ ຈຳ ເປັນ ສຳ ລັບການບໍລິການ winbind ແລະສ້າງລາຍການເຮືອນໂດຍອັດຕະໂນມັດ ສຳ ລັບບັນຊີໂດເມນແຕ່ລະຄັ້ງເມື່ອເຂົ້າສູ່ລະບົບຄັ້ງ ທຳ ອິດ.
ກວດເບິ່ງລາຍການທັງ ໝົດ ໂດຍກົດ [space]
key ແລະກົດ ok ເພື່ອສະ ໝັກ ການຕັ້ງຄ່າ.
$ sudo pam-auth-update
15. ໃນລະບົບ Debian ທ່ານ ຈຳ ເປັນຕ້ອງດັດແກ້ເອກະສານ /etc/pam.d/common-account ດ້ວຍຕົນເອງແລະແຖວຕໍ່ໄປນີ້ເພື່ອສ້າງເຮືອນໂດຍອັດຕະໂນມັດ ສຳ ລັບຜູ້ໃຊ້ໂດເມນທີ່ຖືກກວດສອບ.
session required pam_mkhomedir.so skel=/etc/skel/ umask=0022
16. ເພື່ອໃຫ້ຜູ້ໃຊ້ Active Directory ສາມາດປ່ຽນລະຫັດຜ່ານຈາກບັນດາ ຄຳ ສັ່ງໃນ Linux open /etc/pam.d/common-password file ແລະເອົາ ຄຳ ຖະແຫຼງການ use_authtok ອອກຈາກເສັ້ນລະຫັດຜ່ານໄປຈົນສຸດທ້າຍເບິ່ງຄືກັບຂໍ້ຄວາມຂ້າງລຸ່ມນີ້.
password [success=1 default=ignore] pam_winbind.so try_first_pass
17. ເພື່ອກວດສອບຄວາມຖືກຕ້ອງໃນ Ubuntu host ດ້ວຍບັນຊີ Samba4 AD ໃຊ້ຕົວ ກຳ ນົດການໃຊ້ຊື່ໂດເມນຫຼັງ su su. ດໍາເນີນການຄໍາສັ່ງ id ເພື່ອໃຫ້ໄດ້ຮັບຂໍ້ມູນພິເສດກ່ຽວກັບບັນຊີ AD.
$ su - your_ad_user
ໃຊ້ຄໍາສັ່ງ pwd ເພື່ອເບິ່ງລາຍຊື່ຜູ້ໃຊ້ໂດເມນຂອງທ່ານໃນປະຈຸບັນແລະຄໍາສັ່ງ passwd ຖ້າທ່ານຕ້ອງການປ່ຽນລະຫັດຜ່ານ.
18. ເພື່ອໃຊ້ບັນຊີໂດເມນທີ່ມີສິດທິພິເສດໃນເຄື່ອງ Ubuntu ຂອງທ່ານ, ທ່ານຕ້ອງເພີ່ມຊື່ຜູ້ໃຊ້ AD ເຂົ້າໃນກຸ່ມລະບົບ sudo ໂດຍການອອກ ຄຳ ສັ່ງຂ້າງລຸ່ມນີ້:
$ sudo usermod -aG sudo your_domain_user
ເຂົ້າສູ່ລະບົບອູບັນຕູກັບບັນຊີໂດເມນແລະປັບປຸງລະບົບຂອງທ່ານໂດຍການໃຊ້ ຄຳ ສັ່ງປັບປຸງ apt-get ເພື່ອກວດເບິ່ງວ່າຜູ້ໃຊ້ໂດເມນມີສິດທິພິເສດຮາກຫລືບໍ່.
19. ເພື່ອເພີ່ມສິດທິພິເສດ ສຳ ລັບກຸ່ມໂດເມນ, ເປີດເອກະສານແກ້ໄຂທ້າຍ/etc/sudoers ໂດຍໃຊ້ ຄຳ ສັ່ງ visudo ແລະເພີ່ມແຖວຕໍ່ໄປນີ້ດັ່ງທີ່ສະແດງຢູ່ໃນ ໜ້າ ຈໍຂ້າງລຸ່ມນີ້.
%YOUR_DOMAIN\\your_domain\ group ALL=(ALL:ALL) ALL
ໃຊ້ backslashes ເພື່ອຫລົບ ໜີ ບັນດາສະຖານທີ່ທີ່ມີຢູ່ໃນຊື່ກຸ່ມຂອງໂດເມນຂອງທ່ານຫຼືເພື່ອຫຼົບ ໜີ backslash ທຳ ອິດ. ໃນຕົວຢ່າງຂ້າງເທິງກຸ່ມໂດເມນ ສຳ ລັບ TECMINT realm ແມ່ນຊື່ວ່າ "ໂດເມນ ສຳ ຮອງ".
ອັດຕາສ່ວນຮ້ອຍກ່ອນ ໜ້າ (%)
ສັນຍາລັກຊີ້ໃຫ້ເຫັນວ່າພວກເຮົາ ກຳ ລັງອ້າງອີງເຖິງກຸ່ມ, ບໍ່ແມ່ນຊື່ຜູ້ໃຊ້.
20. ໃນກໍລະນີທີ່ທ່ານ ກຳ ລັງໃຊ້ງານ graphical ຮູບແບບຂອງ Ubuntu ແລະທ່ານຕ້ອງການທີ່ຈະເຂົ້າສູ່ລະບົບກັບຜູ້ໃຊ້ໂດເມນ, ທ່ານ ຈຳ ເປັນຕ້ອງດັດແປງຜູ້ຈັດການສະແດງ LightDM ໂດຍການດັດແກ້ /usr/share/lightdm/lightdm.conf.d/50-ubuntu .conf file, ຕື່ມສາຍຕໍ່ໄປນີ້ແລະ reboot ເຄື່ອງເພື່ອສະທ້ອນການປ່ຽນແປງ.
greeter-show-manual-login=true greeter-hide-users=true
ດຽວນີ້ມັນຄວນຈະສາມາດເຮັດການເຂົ້າສູ່ລະບົບໃນ Ubuntu Desktop ດ້ວຍບັນຊີໂດເມນໂດຍໃຊ້ທັງ your_domain_username ຫຼື [email _domain.tld ຫຼື your_domain\your_domain_username.