ປະສົມປະສານ Ubuntu ກັບ Samba4 AD DC ກັບ SSSD ແລະ Realm - ພາກ 15
ບົດແນະ ນຳ ນີ້ຈະແນະ ນຳ ທ່ານກ່ຽວກັບວິທີການເຂົ້າຮ່ວມເຄື່ອງຂອງ Ubuntu Desktop ເຂົ້າໃນໂດເມນ Samba4 Active Directory ກັບບໍລິການ SSSD ແລະ Realmd ເພື່ອໃຫ້ຜູ້ໃຊ້ສາມາດກວດສອບຄວາມຖືກຕ້ອງກັບ Active Directory.
<
ຂັ້ນຕອນທີ 1: ການຕັ້ງຄ່າເບື້ອງຕົ້ນ
1. ກ່ອນທີ່ຈະເລີ່ມເຂົ້າຮ່ວມ Ubuntu ໃນ Active Directory ໃຫ້ແນ່ໃຈວ່າຊື່ໂຮດຖືກຕັ້ງຄ່າໃຫ້ຖືກຕ້ອງ. ໃຊ້ ຄຳ ສັ່ງ hostnamectl ເພື່ອ ກຳ ນົດຊື່ເຄື່ອງຫລືແກ້ໄຂເອກະສານ/etc/hostname.
$ sudo hostnamectl set-hostname your_machine_short_hostname $ cat /etc/hostname $ hostnamectl
2. ໃນບາດກ້າວຕໍ່ໄປ, ແກ້ໄຂການຕັ້ງຄ່າການໂຕ້ຕອບເຄືອຂ່າຍຂອງເຄື່ອງຈັກແລະເພີ່ມການຕັ້ງຄ່າ IP ທີ່ຖືກຕ້ອງແລະທີ່ຢູ່ IP server ທີ່ຖືກຕ້ອງເພື່ອຊີ້ໃຫ້ຜູ້ຄວບຄຸມໂດເມນ Samba AD ດັ່ງທີ່ສະແດງຢູ່ໃນພາບ ໜ້າ ຈໍຂ້າງລຸ່ມນີ້.
ຖ້າທ່ານໄດ້ ກຳ ນົດຄ່າ server DHCP ຢູ່ທີ່ສະຖານທີ່ຂອງທ່ານເພື່ອ ກຳ ນົດຄ່າ IP ຂອງເຄື່ອງຈັກ LAN ຂອງທ່ານໂດຍອັດຕະໂນມັດໂດຍມີທີ່ຢູ່ AD DNS IP ທີ່ຖືກຕ້ອງແລ້ວທ່ານກໍ່ສາມາດຂ້າມຂັ້ນຕອນນີ້ແລະກ້າວຕໍ່ໄປ.
ໃນ ໜ້າ ຈໍຂ້າງເທິງ, 192.168.1.254 ແລະ 192.168.1.253 ເປັນຕົວແທນທີ່ຢູ່ IP ຂອງຜູ້ຄວບຄຸມໂດເມນ Samba4.
3. ເລີ່ມການບໍລິການເຄືອຂ່າຍຄືນ ໃໝ່ ເພື່ອ ນຳ ໃຊ້ການປ່ຽນແປງຕ່າງໆໂດຍໃຊ້ GUI ຫຼືຈາກ ຄຳ ສັ່ງແລະອອກ ຄຳ ສັ່ງ ping ຕໍ່ກັບຊື່ໂດເມນຂອງທ່ານເພື່ອທົດສອບວ່າຄວາມລະອຽດຂອງ DNS ເຮັດວຽກໄດ້ຕາມຄາດ ໝາຍ ຫລືບໍ່. ນອກຈາກນີ້, ໃຊ້ ຄຳ ສັ່ງເຈົ້າພາບເພື່ອທົດສອບຄວາມລະອຽດຂອງ DNS.
$ sudo systemctl restart networking.service $ host your_domain.tld $ ping -c2 your_domain_name $ ping -c2 adc1 $ ping -c2 adc2
4. ສຸດທ້າຍ, ໃຫ້ແນ່ໃຈວ່າເວລາຂອງເຄື່ອງຈັກແມ່ນກົງກັບ Samba4 AD. ຕິດຕັ້ງຊຸດ ntpdate ແລະ sync ເວລາກັບ AD ໂດຍການອອກ ຄຳ ສັ່ງຂ້າງລຸ່ມນີ້.
$ sudo apt-get install ntpdate $ sudo ntpdate your_domain_name
ຂັ້ນຕອນທີ 2: ຕິດຕັ້ງແພັກເກດທີ່ຕ້ອງການ
5. ໃນຂັ້ນຕອນນີ້ຕິດຕັ້ງໂປແກຼມທີ່ ຈຳ ເປັນແລະຄວາມເພິ່ງພາອາໄສທີ່ ຈຳ ເປັນເພື່ອເຂົ້າຮ່ວມ Ubuntu ເຂົ້າໃນ Samba4 AD DC: ບໍລິການ Realmd ແລະ SSSD.
$ sudo apt install adcli realmd krb5-user samba-common-bin samba-libs samba-dsdb-modules sssd sssd-tools libnss-sss libpam-sss packagekit policykit-1
6. ກະລຸນາໃສ່ຊື່ຂອງ realm default ກັບ uppercases ແລະກົດ Enter ເພື່ອສືບຕໍ່ຕິດຕັ້ງ.
7. ຕໍ່ໄປ, ສ້າງເອກະສານການຕັ້ງຄ່າ SSSD ດ້ວຍເນື້ອຫາຕໍ່ໄປນີ້.
$ sudo nano /etc/sssd/sssd.conf
ຕື່ມສາຍຕໍ່ໄປນີ້ໃສ່ແຟ້ມ sssd.conf.
[nss] filter_groups = root filter_users = root reconnection_retries = 3 [pam] reconnection_retries = 3 [sssd] domains = tecmint.lan config_file_version = 2 services = nss, pam default_domain_suffix = TECMINT.LAN [domain/tecmint.lan] ad_domain = tecmint.lan krb5_realm = TECMINT.LAN realmd_tags = manages-system joined-with-samba cache_credentials = True id_provider = ad krb5_store_password_if_offline = True default_shell = /bin/bash ldap_id_mapping = True use_fully_qualified_names = True fallback_homedir = /home/%d/%u access_provider = ad auth_provider = ad chpass_provider = ad access_provider = ad ldap_schema = ad dyndns_update = true dyndns_refresh_interval = 43200 dyndns_update_ptr = true dyndns_ttl = 3600
ໃຫ້ແນ່ໃຈວ່າທ່ານປ່ຽນຊື່ໂດເມນໃນພາລາມິເຕີຕໍ່ໄປນີ້:
domains = tecmint.lan default_domain_suffix = TECMINT.LAN [domain/tecmint.lan] ad_domain = tecmint.lan krb5_realm = TECMINT.LAN
8. ຕໍ່ໄປ, ຕື່ມການອະນຸຍາດທີ່ ເໝາະ ສົມ ສຳ ລັບເອກະສານ SSSD ໂດຍການອອກ ຄຳ ສັ່ງຂ້າງລຸ່ມນີ້:
$ sudo chmod 700 /etc/sssd/sssd.conf
9. ຕອນນີ້ເປີດແລະແກ້ໄຂເອກະສານການຕັ້ງຄ່າ Realmd ແລະເພີ່ມແຖວຕໍ່ໄປນີ້.
$ sudo nano /etc/realmd.conf
ການອ້າງອິງເອກະສານຂອງ Realmd.conf:
[active-directory] os-name = Linux Ubuntu os-version = 17.04 [service] automatic-install = yes [users] default-home = /home/%d/%u default-shell = /bin/bash [tecmint.lan] user-principal = yes fully-qualified-names = no
10. ເອກະສານສຸດທ້າຍທີ່ທ່ານຕ້ອງການດັດແປງເປັນຂອງ daemon ຂອງ Samba. ເປີດເອກະສານ /etc/samba/smb.conf ເພື່ອແກ້ໄຂແລະເພີ່ມລະຫັດບລັອກຕໍ່ໄປນີ້ໃນຕອນຕົ້ນຂອງເອກະສານ, ຫຼັງຈາກສ່ວນ [ທົ່ວໂລກ] ດັ່ງທີ່ສະແດງຢູ່ໃນຮູບຂ້າງລຸ່ມນີ້.
workgroup = TECMINT client signing = yes client use spnego = yes kerberos method = secrets and keytab realm = TECMINT.LAN security = ads
ໃຫ້ແນ່ໃຈວ່າທ່ານທົດແທນມູນຄ່າຊື່ໂດເມນ, ໂດຍສະເພາະມູນຄ່າ realm ເພື່ອກົງກັບຊື່ໂດເມນຂອງທ່ານແລະ ດຳ ເນີນການ ຄຳ ສັ່ງ testparm ເພື່ອກວດເບິ່ງວ່າເອກະສານການຕັ້ງຄ່າບໍ່ມີຂໍ້ຜິດພາດ.
$ sudo testparm
11. ຫຼັງຈາກທີ່ທ່ານໄດ້ເຮັດການປ່ຽນແປງທີ່ ຈຳ ເປັນທັງ ໝົດ ແລ້ວ, ທົດສອບການກວດສອບຄວາມຖືກຕ້ອງຂອງ Kerberos ໂດຍໃຊ້ບັນຊີການບໍລິຫານ AD ແລະລົງລາຍຊື່ປີ້ໂດຍອອກ ຄຳ ສັ່ງຂ້າງລຸ່ມນີ້.
$ sudo kinit [email $ sudo klist
ຂັ້ນຕອນທີ 3: ເຂົ້າຮ່ວມ Ubuntu ກັບ Samba4 Realm
12. ເພື່ອເຂົ້າຮ່ວມເຄື່ອງຂອງອູແກຣນກັບບັນຫາ Active Directory ຂອງ Samba4 ໂດຍປະຕິບັດຕາມຊຸດ ຄຳ ສັ່ງດັ່ງທີ່ສະແດງຢູ່ດ້ານລຸ່ມ. ໃຊ້ຊື່ບັນຊີ AD DC ທີ່ມີສິດພິເສດຂອງຜູ້ບໍລິຫານເພື່ອໃຫ້ການຜູກມັດກັບ realm ເຮັດວຽກຕາມທີ່ຄາດໄວ້ແລະປ່ຽນແທນຄ່າຊື່ໂດເມນຕາມຄວາມ ເໝາະ ສົມ.
$ sudo realm discover -v DOMAIN.TLD $ sudo realm list $ sudo realm join TECMINT.LAN -U ad_admin_user -v $ sudo net ads join -k
13. ຫຼັງຈາກການຜູກມັດໂດເມນໄດ້ເກີດຂື້ນ, ດຳ ເນີນການ ຄຳ ສັ່ງຕໍ່ໄປນີ້ເພື່ອຮັບປະກັນວ່າບັນຊີໂດເມນທັງ ໝົດ ໄດ້ຖືກອະນຸຍາດໃຫ້ກວດສອບໃນເຄື່ອງໄດ້.
$ sudo realm permit --all
ຕໍ່ມາ, ທ່ານສາມາດອະນຸຍາດຫຼືປະຕິເສດການເຂົ້າເຖິງບັນຊີຜູ້ໃຊ້ໂດເມນຫລືກຸ່ມໂດຍໃຊ້ ຄຳ ສັ່ງ realm ຕາມທີ່ສະແດງຢູ່ໃນຕົວຢ່າງຂ້າງລຸ່ມນີ້.
$ sudo realm deny -a $ realm permit --groups ‘domain.tld\Linux Admins’ $ realm permit [email $ realm permit DOMAIN\\User2
14. ຈາກເຄື່ອງ Windows ທີ່ມີເຄື່ອງມື RSAT ຕິດຕັ້ງທ່ານສາມາດເປີດ AD UC ແລະ ນຳ ທາງໄປທີ່ຄອມພິວເຕີ້ຄອມພິວເຕີ້ແລະກວດເບິ່ງວ່າບັນຊີວັດຖຸທີ່ມີຊື່ຂອງເຄື່ອງຂອງທ່ານຖືກສ້າງຂື້ນຫລືບໍ່.
ຂັ້ນຕອນທີ 4: ຕັ້ງຄ່າການກວດສອບບັນຊີ AD
15. ເພື່ອກວດສອບຄວາມຖືກຕ້ອງໃນເຄື່ອງ Ubuntu ດ້ວຍບັນຊີໂດເມນທ່ານ ຈຳ ເປັນຕ້ອງ ດຳ ເນີນການ ຄຳ ສັ່ງ pam-auth-update ດ້ວຍສິດທິພິເສດຮາກແລະເປີດໃຊ້ໂປຼໄຟລ໌ PAM ທັງ ໝົດ ລວມທັງທາງເລືອກທີ່ຈະສ້າງລາຍການເຮືອນໂດຍອັດຕະໂນມັດ ສຳ ລັບແຕ່ລະບັນຊີໂດເມນເມື່ອເຂົ້າສູ່ລະບົບຄັ້ງ ທຳ ອິດ.
ກວດເບິ່ງລາຍການທັງ ໝົດ ໂດຍກົດປຸ່ມ [ຊ່ອງ] ແລະກົດ ok ເພື່ອສະ ໝັກ ການຕັ້ງຄ່າ.
$ sudo pam-auth-update
16. ໃນລະບົບດັດແກ້ເອກະສານ /etc/pam.d/common-account ດ້ວຍຕົນເອງແລະສາຍຕໍ່ໄປນີ້ເພື່ອສ້າງເຮືອນໂດຍອັດຕະໂນມັດ ສຳ ລັບຜູ້ໃຊ້ໂດເມນທີ່ຖືກກວດສອບ.
session required pam_mkhomedir.so skel=/etc/skel/ umask=0022
17. ຖ້າຜູ້ໃຊ້ Active Directory ບໍ່ສາມາດປ່ຽນລະຫັດຜ່ານຈາກ ຄຳ ສັ່ງໃນ Linux, ເປີດແຟ້ມເອກະສານ /etc/pam.d/common-password ແລະລຶບ ຄຳ ຖະແຫຼງການ use_authtok ອອກຈາກເສັ້ນລະຫັດຜ່ານຈົນສຸດທ້າຍເບິ່ງຄືກັບຂໍ້ຄວາມຂ້າງລຸ່ມນີ້.
password [success=1 default=ignore] pam_winbind.so try_first_pass
18. ສຸດທ້າຍ, ເລີ່ມຕົ້ນ ໃໝ່ ແລະເປີດໃຊ້ບໍລິການ Realmd ແລະ SSSD ເພື່ອ ນຳ ໃຊ້ການປ່ຽນແປງໂດຍການອອກ ຄຳ ສັ່ງຂ້າງລຸ່ມນີ້:
$ sudo systemctl restart realmd sssd $ sudo systemctl enable realmd sssd
19. ເພື່ອທົດສອບວ່າເຄື່ອງ Ubuntu ຖືກປະສົມປະສານຢ່າງ ສຳ ເລັດຜົນກັບຊຸດ realb run install winbind ແລະເຮັດ ຄຳ ສັ່ງ wbinfo ເພື່ອລົງບັນຊີໂດເມນແລະກຸ່ມຕາມທີ່ສະແດງຢູ່ດ້ານລຸ່ມ.
$ sudo apt-get install winbind $ wbinfo -u $ wbinfo -g
20. ພ້ອມກັນນີ້, ກວດເບິ່ງໂມດູນ Winbind nsswitch ໂດຍການອອກ ຄຳ ສັ່ງຕໍ່ຕ້ານຜູ້ໃຊ້ຫລືກຸ່ມໂດເມນສະເພາະ.
$ sudo getent passwd your_domain_user $ sudo getent group ‘domain admins’
21. ທ່ານຍັງສາມາດໃຊ້ Linux id command ເພື່ອເອົາຂໍ້ມູນກ່ຽວກັບບັນຊີ AD ດັ່ງທີ່ສະແດງຢູ່ໃນ ຄຳ ສັ່ງຂ້າງລຸ່ມນີ້.
$ id tecmint_user
22. ເພື່ອກວດສອບຄວາມຖືກຕ້ອງໃນ Ubuntu host ດ້ວຍບັນຊີ Samba4 AD ໃຊ້ຕົວ ກຳ ນົດການໃຊ້ຊື່ໂດເມນຫຼັງ su su. ດໍາເນີນການຄໍາສັ່ງ id ເພື່ອໃຫ້ໄດ້ຮັບຂໍ້ມູນພິເສດກ່ຽວກັບບັນຊີ AD.
$ su - your_ad_user
ໃຊ້ຄໍາສັ່ງ pwd ເພື່ອເບິ່ງຜູ້ໃຊ້ໂດເມນຂອງທ່ານທີ່ເຮັດວຽກໃນປະຈຸບັນແລະຄໍາສັ່ງ passwd ຖ້າທ່ານຕ້ອງການປ່ຽນລະຫັດຜ່ານ.
23. ເພື່ອໃຊ້ບັນຊີໂດເມນທີ່ມີສິດທິພິເສດໃນເຄື່ອງ Ubuntu ຂອງທ່ານ, ທ່ານ ຈຳ ເປັນຕ້ອງເພີ່ມຊື່ຜູ້ໃຊ້ AD ເຂົ້າໃນກຸ່ມລະບົບ sudo ໂດຍການອອກ ຄຳ ສັ່ງຂ້າງລຸ່ມນີ້:
$ sudo usermod -aG sudo [email
ເຂົ້າສູ່ລະບົບອູບັນຕູກັບບັນຊີໂດເມນແລະປັບປຸງລະບົບຂອງທ່ານໂດຍການໃຊ້ ຄຳ ສັ່ງປັບປຸງ apt ເພື່ອກວດສອບສິດທິຮາກ.
24. ເພື່ອເພີ່ມສິດທິພິເສດ ສຳ ລັບກຸ່ມໂດເມນ, ເປີດເອກະສານດັດແກ້/etc/sudoers ໂດຍໃຊ້ ຄຳ ສັ່ງ visudo ແລະເພີ່ມແຖວຕໍ່ໄປນີ້ດັ່ງທີ່ສະແດງ.
%domain\ [email ALL=(ALL:ALL) ALL
25. ເພື່ອ ນຳ ໃຊ້ການກວດສອບບັນຊີໂດເມນ ສຳ ລັບ Ubuntu Desktop ປັບປຸງແກ້ໄຂຜູ້ຈັດການຈໍສະແດງຜົນ LightDM ໂດຍການດັດແກ້ /usr/share/lightdm/lightdm.conf.d/50-ubuntu.conf, ເພີ່ມສອງເສັ້ນຕໍ່ໄປນີ້ແລະເລີ່ມການບໍລິການ lightdm ຫລືເປີດເຄື່ອງ ໃໝ່. ການປ່ຽນແປງ.
greeter-show-manual-login=true greeter-hide-users=true
ເຂົ້າສູ່ລະບົບ Ubuntu Desktop ດ້ວຍບັນຊີໂດເມນໂດຍໃຊ້ your_domain_username ຫຼື [email _domain.tld syntax.
26. ເພື່ອ ນຳ ໃຊ້ຮູບແບບຊື່ສັ້ນ ສຳ ລັບບັນຊີຂອງ Samba AD, ແກ້ໄຂເອກະສານ /etc/sssd/sssd.conf, ຕື່ມສາຍຕໍ່ໄປນີ້ໃນ block [sssd] ດັ່ງທີ່ສະແດງຢູ່ຂ້າງລຸ່ມ.
full_name_format = %1$s
ແລະເລີ່ມຕົ້ນ daemon SSSD ເພື່ອ ນຳ ໃຊ້ການປ່ຽນແປງ.
$ sudo systemctl restart sssd
ທ່ານຈະສັງເກດເຫັນວ່າການກະຕຸ້ນເຕືອນ bash ຈະປ່ຽນເປັນຊື່ສັ້ນຂອງຜູ້ໃຊ້ AD ໂດຍບໍ່ຕ້ອງໃສ່ຊື່ໂດເມນ.
27. ໃນກໍລະນີທີ່ທ່ານບໍ່ສາມາດເຂົ້າສູ່ລະບົບໄດ້ເນື່ອງຈາກການ ຄຳ ນວນ = ການໂຕ້ຖຽງທີ່ຖືກ ກຳ ນົດໄວ້ໃນ sssd.conf ທ່ານຕ້ອງລຶບຖານຂໍ້ມູນຖານຄວາມ ຈຳ ທີ່ເຮັດໂດຍການອອກ ຄຳ ສັ່ງຂ້າງລຸ່ມນີ້:
$ rm /var/lib/sss/db/cache_tecmint.lan.ldb
ຫມົດເທົ່ານີ້! ເຖິງແມ່ນວ່າ ຄຳ ແນະ ນຳ ນີ້ແມ່ນສຸມໃສ່ການເຊື່ອມໂຍງເຂົ້າກັບ Samba 4 Active Directory, ຂັ້ນຕອນດຽວກັນກໍ່ສາມາດ ນຳ ໃຊ້ເພື່ອປະສົມປະສານ Ubuntu ກັບການບໍລິການ Realmd ແລະ SSSD ເຂົ້າໃນລະບົບ Microsoft Windows Server Active Directory.