ປະສົມປະສານ Ubuntu ກັບ Samba4 AD DC ກັບ SSSD ແລະ Realm - ພາກ 15

ບົດແນະ ນຳ ນີ້ຈະແນະ ນຳ ທ່ານກ່ຽວກັບວິທີການເຂົ້າຮ່ວມເຄື່ອງຂອງ Ubuntu Desktop ເຂົ້າໃນໂດເມນ Samba4 Active Directory ກັບບໍລິການ SSSD ແລະ Realmd ເພື່ອໃຫ້ຜູ້ໃຊ້ສາມາດກວດສອບຄວາມຖືກຕ້ອງກັບ Active Directory.

<

  • ສ້າງພື້ນຖານໂຄງລ່າງ Directory ທີ່ມີ Samba4 ໃນ Ubuntu

    • ຂັ້ນຕອນທີ 1: ການຕັ້ງຄ່າເບື້ອງຕົ້ນ

    1. ກ່ອນທີ່ຈະເລີ່ມເຂົ້າຮ່ວມ Ubuntu ໃນ Active Directory ໃຫ້ແນ່ໃຈວ່າຊື່ໂຮດຖືກຕັ້ງຄ່າໃຫ້ຖືກຕ້ອງ. ໃຊ້ ຄຳ ສັ່ງ hostnamectl ເພື່ອ ກຳ ນົດຊື່ເຄື່ອງຫລືແກ້ໄຂເອກະສານ/etc/hostname.

    $ sudo hostnamectl set-hostname your_machine_short_hostname
$ cat /etc/hostname
$ hostnamectl

    2. ໃນບາດກ້າວຕໍ່ໄປ, ແກ້ໄຂການຕັ້ງຄ່າການໂຕ້ຕອບເຄືອຂ່າຍຂອງເຄື່ອງຈັກແລະເພີ່ມການຕັ້ງຄ່າ IP ທີ່ຖືກຕ້ອງແລະທີ່ຢູ່ IP server ທີ່ຖືກຕ້ອງເພື່ອຊີ້ໃຫ້ຜູ້ຄວບຄຸມໂດເມນ Samba AD ດັ່ງທີ່ສະແດງຢູ່ໃນພາບ ໜ້າ ຈໍຂ້າງລຸ່ມນີ້.

    ຖ້າທ່ານໄດ້ ກຳ ນົດຄ່າ server DHCP ຢູ່ທີ່ສະຖານທີ່ຂອງທ່ານເພື່ອ ກຳ ນົດຄ່າ IP ຂອງເຄື່ອງຈັກ LAN ຂອງທ່ານໂດຍອັດຕະໂນມັດໂດຍມີທີ່ຢູ່ AD DNS IP ທີ່ຖືກຕ້ອງແລ້ວທ່ານກໍ່ສາມາດຂ້າມຂັ້ນຕອນນີ້ແລະກ້າວຕໍ່ໄປ.

    ໃນ ໜ້າ ຈໍຂ້າງເທິງ, 192.168.1.254 ແລະ 192.168.1.253 ເປັນຕົວແທນທີ່ຢູ່ IP ຂອງຜູ້ຄວບຄຸມໂດເມນ Samba4.

    3. ເລີ່ມການບໍລິການເຄືອຂ່າຍຄືນ ໃໝ່ ເພື່ອ ນຳ ໃຊ້ການປ່ຽນແປງຕ່າງໆໂດຍໃຊ້ GUI ຫຼືຈາກ ຄຳ ສັ່ງແລະອອກ ຄຳ ສັ່ງ ping ຕໍ່ກັບຊື່ໂດເມນຂອງທ່ານເພື່ອທົດສອບວ່າຄວາມລະອຽດຂອງ DNS ເຮັດວຽກໄດ້ຕາມຄາດ ໝາຍ ຫລືບໍ່. ນອກຈາກນີ້, ໃຊ້ ຄຳ ສັ່ງເຈົ້າພາບເພື່ອທົດສອບຄວາມລະອຽດຂອງ DNS.

    $ sudo systemctl restart networking.service
$ host your_domain.tld
$ ping -c2 your_domain_name
$ ping -c2 adc1
$ ping -c2 adc2

    4. ສຸດທ້າຍ, ໃຫ້ແນ່ໃຈວ່າເວລາຂອງເຄື່ອງຈັກແມ່ນກົງກັບ Samba4 AD. ຕິດຕັ້ງຊຸດ ntpdate ແລະ sync ເວລາກັບ AD ໂດຍການອອກ ຄຳ ສັ່ງຂ້າງລຸ່ມນີ້.

    $ sudo apt-get install ntpdate
$ sudo ntpdate your_domain_name

    ຂັ້ນຕອນທີ 2: ຕິດຕັ້ງແພັກເກດທີ່ຕ້ອງການ

    5. ໃນຂັ້ນຕອນນີ້ຕິດຕັ້ງໂປແກຼມທີ່ ຈຳ ເປັນແລະຄວາມເພິ່ງພາອາໄສທີ່ ຈຳ ເປັນເພື່ອເຂົ້າຮ່ວມ Ubuntu ເຂົ້າໃນ Samba4 AD DC: ບໍລິການ Realmd ແລະ SSSD.

    $ sudo apt install adcli realmd krb5-user samba-common-bin samba-libs samba-dsdb-modules sssd sssd-tools libnss-sss libpam-sss packagekit policykit-1

    6. ກະລຸນາໃສ່ຊື່ຂອງ realm default ກັບ uppercases ແລະກົດ Enter ເພື່ອສືບຕໍ່ຕິດຕັ້ງ.

    7. ຕໍ່ໄປ, ສ້າງເອກະສານການຕັ້ງຄ່າ SSSD ດ້ວຍເນື້ອຫາຕໍ່ໄປນີ້.

    $ sudo nano /etc/sssd/sssd.conf

    ຕື່ມສາຍຕໍ່ໄປນີ້ໃສ່ແຟ້ມ sssd.conf.

    [nss]
filter_groups = root
filter_users = root
reconnection_retries = 3

[pam]
reconnection_retries = 3

[sssd]
domains = tecmint.lan
config_file_version = 2
services = nss, pam
default_domain_suffix = TECMINT.LAN


[domain/tecmint.lan]
ad_domain = tecmint.lan
krb5_realm = TECMINT.LAN
realmd_tags = manages-system joined-with-samba
cache_credentials = True
id_provider = ad
krb5_store_password_if_offline = True
default_shell = /bin/bash
ldap_id_mapping = True
use_fully_qualified_names = True
fallback_homedir = /home/%d/%u
access_provider = ad

auth_provider = ad
chpass_provider = ad
access_provider = ad
ldap_schema = ad
dyndns_update = true
dyndns_refresh_interval = 43200
dyndns_update_ptr = true
dyndns_ttl = 3600

    ໃຫ້ແນ່ໃຈວ່າທ່ານປ່ຽນຊື່ໂດເມນໃນພາລາມິເຕີຕໍ່ໄປນີ້:

    domains = tecmint.lan
default_domain_suffix = TECMINT.LAN
[domain/tecmint.lan]
ad_domain = tecmint.lan
krb5_realm = TECMINT.LAN

    8. ຕໍ່ໄປ, ຕື່ມການອະນຸຍາດທີ່ ເໝາະ ສົມ ສຳ ລັບເອກະສານ SSSD ໂດຍການອອກ ຄຳ ສັ່ງຂ້າງລຸ່ມນີ້:

    $ sudo chmod 700 /etc/sssd/sssd.conf

    9. ຕອນນີ້ເປີດແລະແກ້ໄຂເອກະສານການຕັ້ງຄ່າ Realmd ແລະເພີ່ມແຖວຕໍ່ໄປນີ້.

    $ sudo nano /etc/realmd.conf

    ການອ້າງອິງເອກະສານຂອງ Realmd.conf:

    [active-directory]
os-name = Linux Ubuntu
os-version = 17.04

[service]
automatic-install = yes

 [users]
default-home = /home/%d/%u
default-shell = /bin/bash

[tecmint.lan]
user-principal = yes
fully-qualified-names = no

    10. ເອກະສານສຸດທ້າຍທີ່ທ່ານຕ້ອງການດັດແປງເປັນຂອງ daemon ຂອງ Samba. ເປີດເອກະສານ /etc/samba/smb.conf ເພື່ອແກ້ໄຂແລະເພີ່ມລະຫັດບລັອກຕໍ່ໄປນີ້ໃນຕອນຕົ້ນຂອງເອກະສານ, ຫຼັງຈາກສ່ວນ [ທົ່ວໂລກ] ດັ່ງທີ່ສະແດງຢູ່ໃນຮູບຂ້າງລຸ່ມນີ້.

     workgroup = TECMINT
   client signing = yes
   client use spnego = yes
   kerberos method = secrets and keytab
   realm = TECMINT.LAN
   security = ads

    ໃຫ້ແນ່ໃຈວ່າທ່ານທົດແທນມູນຄ່າຊື່ໂດເມນ, ໂດຍສະເພາະມູນຄ່າ realm ເພື່ອກົງກັບຊື່ໂດເມນຂອງທ່ານແລະ ດຳ ເນີນການ ຄຳ ສັ່ງ testparm ເພື່ອກວດເບິ່ງວ່າເອກະສານການຕັ້ງຄ່າບໍ່ມີຂໍ້ຜິດພາດ.

    $ sudo testparm

    11. ຫຼັງຈາກທີ່ທ່ານໄດ້ເຮັດການປ່ຽນແປງທີ່ ຈຳ ເປັນທັງ ໝົດ ແລ້ວ, ທົດສອບການກວດສອບຄວາມຖືກຕ້ອງຂອງ Kerberos ໂດຍໃຊ້ບັນຊີການບໍລິຫານ AD ແລະລົງລາຍຊື່ປີ້ໂດຍອອກ ຄຳ ສັ່ງຂ້າງລຸ່ມນີ້.

    $ sudo kinit [email 
$ sudo klist

    ຂັ້ນຕອນທີ 3: ເຂົ້າຮ່ວມ Ubuntu ກັບ Samba4 Realm

    12. ເພື່ອເຂົ້າຮ່ວມເຄື່ອງຂອງອູແກຣນກັບບັນຫາ Active Directory ຂອງ Samba4 ໂດຍປະຕິບັດຕາມຊຸດ ຄຳ ສັ່ງດັ່ງທີ່ສະແດງຢູ່ດ້ານລຸ່ມ. ໃຊ້ຊື່ບັນຊີ AD DC ທີ່ມີສິດພິເສດຂອງຜູ້ບໍລິຫານເພື່ອໃຫ້ການຜູກມັດກັບ realm ເຮັດວຽກຕາມທີ່ຄາດໄວ້ແລະປ່ຽນແທນຄ່າຊື່ໂດເມນຕາມຄວາມ ເໝາະ ສົມ.

    $ sudo realm discover -v DOMAIN.TLD
$ sudo realm list
$ sudo realm join TECMINT.LAN -U ad_admin_user -v
$ sudo net ads join -k

    13. ຫຼັງຈາກການຜູກມັດໂດເມນໄດ້ເກີດຂື້ນ, ດຳ ເນີນການ ຄຳ ສັ່ງຕໍ່ໄປນີ້ເພື່ອຮັບປະກັນວ່າບັນຊີໂດເມນທັງ ໝົດ ໄດ້ຖືກອະນຸຍາດໃຫ້ກວດສອບໃນເຄື່ອງໄດ້.

    $ sudo realm permit --all

    ຕໍ່ມາ, ທ່ານສາມາດອະນຸຍາດຫຼືປະຕິເສດການເຂົ້າເຖິງບັນຊີຜູ້ໃຊ້ໂດເມນຫລືກຸ່ມໂດຍໃຊ້ ຄຳ ສັ່ງ realm ຕາມທີ່ສະແດງຢູ່ໃນຕົວຢ່າງຂ້າງລຸ່ມນີ້.

    $ sudo realm deny -a
$ realm permit --groups ‘domain.tld\Linux Admins’
$ realm permit [email 
$ realm permit DOMAIN\\User2

    14. ຈາກເຄື່ອງ Windows ທີ່ມີເຄື່ອງມື RSAT ຕິດຕັ້ງທ່ານສາມາດເປີດ AD UC ແລະ ນຳ ທາງໄປທີ່ຄອມພິວເຕີ້ຄອມພິວເຕີ້ແລະກວດເບິ່ງວ່າບັນຊີວັດຖຸທີ່ມີຊື່ຂອງເຄື່ອງຂອງທ່ານຖືກສ້າງຂື້ນຫລືບໍ່.

    ຂັ້ນຕອນທີ 4: ຕັ້ງຄ່າການກວດສອບບັນຊີ AD

    15. ເພື່ອກວດສອບຄວາມຖືກຕ້ອງໃນເຄື່ອງ Ubuntu ດ້ວຍບັນຊີໂດເມນທ່ານ ຈຳ ເປັນຕ້ອງ ດຳ ເນີນການ ຄຳ ສັ່ງ pam-auth-update ດ້ວຍສິດທິພິເສດຮາກແລະເປີດໃຊ້ໂປຼໄຟລ໌ PAM ທັງ ໝົດ ລວມທັງທາງເລືອກທີ່ຈະສ້າງລາຍການເຮືອນໂດຍອັດຕະໂນມັດ ສຳ ລັບແຕ່ລະບັນຊີໂດເມນເມື່ອເຂົ້າສູ່ລະບົບຄັ້ງ ທຳ ອິດ.

    ກວດເບິ່ງລາຍການທັງ ໝົດ ໂດຍກົດປຸ່ມ [ຊ່ອງ] ແລະກົດ ok ເພື່ອສະ ໝັກ ການຕັ້ງຄ່າ.

    $ sudo pam-auth-update

    16. ໃນລະບົບດັດແກ້ເອກະສານ /etc/pam.d/common-account ດ້ວຍຕົນເອງແລະສາຍຕໍ່ໄປນີ້ເພື່ອສ້າງເຮືອນໂດຍອັດຕະໂນມັດ ສຳ ລັບຜູ້ໃຊ້ໂດເມນທີ່ຖືກກວດສອບ.

    session    required    pam_mkhomedir.so    skel=/etc/skel/    umask=0022

    17. ຖ້າຜູ້ໃຊ້ Active Directory ບໍ່ສາມາດປ່ຽນລະຫັດຜ່ານຈາກ ຄຳ ສັ່ງໃນ Linux, ເປີດແຟ້ມເອກະສານ /etc/pam.d/common-password ແລະລຶບ ຄຳ ຖະແຫຼງການ use_authtok ອອກຈາກເສັ້ນລະຫັດຜ່ານຈົນສຸດທ້າຍເບິ່ງຄືກັບຂໍ້ຄວາມຂ້າງລຸ່ມນີ້.

    password       [success=1 default=ignore]      pam_winbind.so try_first_pass

    18. ສຸດທ້າຍ, ເລີ່ມຕົ້ນ ໃໝ່ ແລະເປີດໃຊ້ບໍລິການ Realmd ແລະ SSSD ເພື່ອ ນຳ ໃຊ້ການປ່ຽນແປງໂດຍການອອກ ຄຳ ສັ່ງຂ້າງລຸ່ມນີ້:

    $ sudo systemctl restart realmd sssd
$ sudo systemctl enable realmd sssd

    19. ເພື່ອທົດສອບວ່າເຄື່ອງ Ubuntu ຖືກປະສົມປະສານຢ່າງ ສຳ ເລັດຜົນກັບຊຸດ realb run install winbind ແລະເຮັດ ຄຳ ສັ່ງ wbinfo ເພື່ອລົງບັນຊີໂດເມນແລະກຸ່ມຕາມທີ່ສະແດງຢູ່ດ້ານລຸ່ມ.

    $ sudo apt-get install winbind
$ wbinfo -u
$ wbinfo -g

    20. ພ້ອມກັນນີ້, ກວດເບິ່ງໂມດູນ Winbind nsswitch ໂດຍການອອກ ຄຳ ສັ່ງຕໍ່ຕ້ານຜູ້ໃຊ້ຫລືກຸ່ມໂດເມນສະເພາະ.

    $ sudo getent passwd your_domain_user
$ sudo getent group ‘domain admins’

    21. ທ່ານຍັງສາມາດໃຊ້ Linux id command ເພື່ອເອົາຂໍ້ມູນກ່ຽວກັບບັນຊີ AD ດັ່ງທີ່ສະແດງຢູ່ໃນ ຄຳ ສັ່ງຂ້າງລຸ່ມນີ້.

    $ id tecmint_user

    22. ເພື່ອກວດສອບຄວາມຖືກຕ້ອງໃນ Ubuntu host ດ້ວຍບັນຊີ Samba4 AD ໃຊ້ຕົວ ກຳ ນົດການໃຊ້ຊື່ໂດເມນຫຼັງ su su. ດໍາເນີນການຄໍາສັ່ງ id ເພື່ອໃຫ້ໄດ້ຮັບຂໍ້ມູນພິເສດກ່ຽວກັບບັນຊີ AD.

    $ su - your_ad_user

    ໃຊ້ຄໍາສັ່ງ pwd ເພື່ອເບິ່ງຜູ້ໃຊ້ໂດເມນຂອງທ່ານທີ່ເຮັດວຽກໃນປະຈຸບັນແລະຄໍາສັ່ງ passwd ຖ້າທ່ານຕ້ອງການປ່ຽນລະຫັດຜ່ານ.

    23. ເພື່ອໃຊ້ບັນຊີໂດເມນທີ່ມີສິດທິພິເສດໃນເຄື່ອງ Ubuntu ຂອງທ່ານ, ທ່ານ ຈຳ ເປັນຕ້ອງເພີ່ມຊື່ຜູ້ໃຊ້ AD ເຂົ້າໃນກຸ່ມລະບົບ sudo ໂດຍການອອກ ຄຳ ສັ່ງຂ້າງລຸ່ມນີ້:

    $ sudo usermod -aG sudo [email 

    ເຂົ້າສູ່ລະບົບອູບັນຕູກັບບັນຊີໂດເມນແລະປັບປຸງລະບົບຂອງທ່ານໂດຍການໃຊ້ ຄຳ ສັ່ງປັບປຸງ apt ເພື່ອກວດສອບສິດທິຮາກ.

    24. ເພື່ອເພີ່ມສິດທິພິເສດ ສຳ ລັບກຸ່ມໂດເມນ, ເປີດເອກະສານດັດແກ້/etc/sudoers ໂດຍໃຊ້ ຄຳ ສັ່ງ visudo ແລະເພີ່ມແຖວຕໍ່ໄປນີ້ດັ່ງທີ່ສະແດງ.

    %domain\ [email        		 ALL=(ALL:ALL) ALL

    25. ເພື່ອ ນຳ ໃຊ້ການກວດສອບບັນຊີໂດເມນ ສຳ ລັບ Ubuntu Desktop ປັບປຸງແກ້ໄຂຜູ້ຈັດການຈໍສະແດງຜົນ LightDM ໂດຍການດັດແກ້ /usr/share/lightdm/lightdm.conf.d/50-ubuntu.conf, ເພີ່ມສອງເສັ້ນຕໍ່ໄປນີ້ແລະເລີ່ມການບໍລິການ lightdm ຫລືເປີດເຄື່ອງ ໃໝ່. ການປ່ຽນແປງ.

    greeter-show-manual-login=true
greeter-hide-users=true

    ເຂົ້າສູ່ລະບົບ Ubuntu Desktop ດ້ວຍບັນຊີໂດເມນໂດຍໃຊ້ your_domain_username ຫຼື [email _domain.tld syntax.

    26. ເພື່ອ ນຳ ໃຊ້ຮູບແບບຊື່ສັ້ນ ສຳ ລັບບັນຊີຂອງ Samba AD, ແກ້ໄຂເອກະສານ /etc/sssd/sssd.conf, ຕື່ມສາຍຕໍ່ໄປນີ້ໃນ block [sssd] ດັ່ງທີ່ສະແດງຢູ່ຂ້າງລຸ່ມ.

    full_name_format = %1$s

    ແລະເລີ່ມຕົ້ນ daemon SSSD ເພື່ອ ນຳ ໃຊ້ການປ່ຽນແປງ.

    $ sudo systemctl restart sssd

    ທ່ານຈະສັງເກດເຫັນວ່າການກະຕຸ້ນເຕືອນ bash ຈະປ່ຽນເປັນຊື່ສັ້ນຂອງຜູ້ໃຊ້ AD ໂດຍບໍ່ຕ້ອງໃສ່ຊື່ໂດເມນ.

    27. ໃນກໍລະນີທີ່ທ່ານບໍ່ສາມາດເຂົ້າສູ່ລະບົບໄດ້ເນື່ອງຈາກການ ຄຳ ນວນ = ການໂຕ້ຖຽງທີ່ຖືກ ກຳ ນົດໄວ້ໃນ sssd.conf ທ່ານຕ້ອງລຶບຖານຂໍ້ມູນຖານຄວາມ ຈຳ ທີ່ເຮັດໂດຍການອອກ ຄຳ ສັ່ງຂ້າງລຸ່ມນີ້:

    $ rm /var/lib/sss/db/cache_tecmint.lan.ldb

    ຫມົດເທົ່ານີ້! ເຖິງແມ່ນວ່າ ຄຳ ແນະ ນຳ ນີ້ແມ່ນສຸມໃສ່ການເຊື່ອມໂຍງເຂົ້າກັບ Samba 4 Active Directory, ຂັ້ນຕອນດຽວກັນກໍ່ສາມາດ ນຳ ໃຊ້ເພື່ອປະສົມປະສານ Ubuntu ກັບການບໍລິການ Realmd ແລະ SSSD ເຂົ້າໃນລະບົບ Microsoft Windows Server Active Directory.