重庆分公司,新征程启航
为企业提供网站建设、域名注册、服务器等服务
小编给大家分享一下怎么用SSSD和Realm集成Ubuntu到Samba4 AD DC,希望大家阅读完这篇文章之后都有所收获,下面让我们一起去探讨吧!
南县网站制作公司哪家好,找创新互联!从网页设计、网站建设、微信开发、APP开发、成都响应式网站建设等网站项目制作,到程序开发,运营维护。创新互联成立于2013年到现在10年的时间,我们拥有了丰富的建站经验和运维经验,来保证我们的工作的顺利进行。专注于网站建设就选创新互联。
要求:
在 Ubuntu 上用 Samba4 创建一个活动目录架构
第 1 步:初始配置
1、 在把 Ubuntu 加入活动目录前确保主机名被正确设置了。使用 hostnamectl 命令设置机器名字或者手动编辑 /etc/hostname 文件。
$ sudo hostnamectl set-hostname your_machine_short_hostname $ cat /etc/hostname $ hostnamectl
2、 接下来,编辑机器网络接口设置并且添加合适的 IP 设置,并将正确的 DNS IP 服务器地址指向 Samba 活动目录域控制器,如下图所示。
如果你已经配置了 DHCP 服务来为局域网机器自动分配包括合适的 AD DNS IP 地址的 IP 设置,那么你可以跳过这一步。
设置网络接口
上图中,192.168.1.254 和 192.168.1.253 代表 Samba4 域控制器的 IP 地址。
3、 用 GUI(图形用户界面)或命令行重启网络服务来应用修改,并且对你的域名发起一系列 ping 请求来测试 DNS 解析如预期工作。 也用 host 命令来测试 DNS 解析。
$ sudo systemctl restart networking.service $ host your_domain.tld $ ping -c2 your_domain_name $ ping -c2 adc1 $ ping -c2 adc2
4、 ***, 确保机器时间和 Samba4 AD 同步。安装 ntpdate 包并用下列指令和 AD 同步时间。
$ sudo apt-get install ntpdate $ sudo ntpdate your_domain_name
第 2 步:安装需要的包
5、 这一步将安装将 Ubuntu 加入 Samba4 活动目录域控制器所必须的软件和依赖:Realmd 和 SSSD 服务。
$ sudo apt install adcli realmd krb5-user samba-common-bin samba-libs samba-dsdb-modules sssd sssd-tools libnss-sss libpam-sss packagekit policykit-1
6、 输入大写的默认 realm 名称,然后按下回车继续安装。
输入 Realm 名称
7、 接着,创建包含以下内容的 SSSD 配置文件。
$ sudo nano /etc/sssd/sssd.conf
加入下面的内容到 sssd.conf 文件。
[nss] filter_groups = root filter_users = root reconnection_retries = 3 [pam] reconnection_retries = 3 [sssd] domains = tecmint.lan config_file_version = 2 services = nss, pam default_domain_suffix = TECMINT.LAN [domain/tecmint.lan] ad_domain = tecmint.lan krb5_realm = TECMINT.LAN realmd_tags = manages-system joined-with-samba cache_credentials = True id_provider = ad krb5_store_password_if_offline = True default_shell = /bin/bash ldap_id_mapping = True use_fully_qualified_names = True fallback_homedir = /home/%d/%u access_provider = ad auth_provider = ad chpass_provider = ad access_provider = ad ldap_schema = ad dyndns_update = true dyndsn_refresh_interval = 43200 dyndns_update_ptr = true dyndns_ttl = 3600
确保你对应地替换了下列参数的域名:
domains = tecmint.lan default_domain_suffix = TECMINT.LAN [domain/tecmint.lan] ad_domain = tecmint.lan krb5_realm = TECMINT.LAN
8、 接着,用下列命令给 SSSD 配置文件适当的权限:
$ sudo chmod 700 /etc/sssd/sssd.conf
9、 现在,打开并编辑 Realmd 配置文件,输入下面这行:
$ sudo nano /etc/realmd.conf
realmd.conf 文件摘录:
[active-directory] os-name = Linux Ubuntu os-version = 17.04 [service] automatic-install = yes [users] default-home = /home/%d/%u default-shell = /bin/bash [tecmint.lan] user-principal = yes fully-qualified-names = no
10、 ***需要修改的文件属于 Samba 守护进程。 打开 /etc/samba/smb.conf 文件编辑,然后在文件开头加入下面这块代码,在 [global] 之后的部分如下图所示。
workgroup = TECMINT client signing = yes client use spnego = yes kerberos method = secrets and keytab realm = TECMINT.LAN security = ads
配置 Samba 服务器
确保你替换了域名值,特别是对应域名的 realm 值,并运行 testparm 命令检验设置文件是否包含错误。
$ sudo testparm
测试 Samba 配置
11、 在做完所有必需的修改之后,用 AD 管理员帐号验证 Kerberos 认证并用下面的命令列出票据。
$ sudo kinit ad_admin_user@DOMAIN.TLD $ sudo klist
检验 Kerberos 认证
第 3 步: 加入 Ubuntu 到 Samba4 Realm
12、 键入下列命令将 Ubuntu 机器加入到 Samba4 活动目录。用有管理员权限的 AD DC 账户名字,以便绑定 realm 可以如预期般工作,并替换对应的域名值。
$ sudo realm discover -v DOMAIN.TLD $ sudo realm list $ sudo realm join TECMINT.LAN -U ad_admin_user -v $ sudo net ads join -k
加入 Ubuntu 到 Samba4 Realm
列出 Realm Domain 信息
添加用户到 Realm Domain
添加 Domain 到 Realm
13、 区域绑定好了之后,运行下面的命令确保所有域账户允许在这台机器上认证。
$ sudo realm permit -all
然后你可以使用下面举例的 realm 命令允许或者禁止域用户帐号或群组访问。
$ sudo realm deny -a $ realm permit --groups ‘domain.tld\Linux Admins’ $ realm permit user@domain.lan $ realm permit DOMAIN\\User2
14、 从一个 安装了 RSAT 工具的 Windows 机器上你可以打开 AD UC 并浏览“电脑computers”容器,并检验是否有一个使用你机器名的对象帐号已经创建。
确保域被加入 AD DC
第 4 步:配置 AD 账户认证
15、 为了在 Ubuntu 机器上用域账户认证,你需要用 root 权限运行 pam-auth-update 命令并允许所有 PAM 配置文件,包括为每个域账户在***次注册的时候自动创建家目录的选项。
按 [空格] 键检验所有配置项并点击 ok 来应用配置。
$ sudo pam-auth-update
PAM 配置
16、 在系统上手动编辑 /etc/pam.d/common-account 文件,下面这几行是为了给认证过的域用户自动创建家目录。
session required pam_mkhomedir.so skel=/etc/skel/ umask=0022
17、 如果活动目录用户不能用 linux 命令行修改他们的密码,打开 /etc/pam.d/common-password 文件并在 password 行移除 use_authtok 语句,***如下:
password [success=1 default=ignore] pam_winbind.so try_first_pass
18、 ***,用下面的命令重启并启用以应用 Realmd 和 SSSD 服务的修改:
$ sudo systemctl restart realmd sssd $ sudo systemctl enable realmd sssd
19、 为了测试 Ubuntu 机器是是否成功集成到 realm ,安装 winbind 包并运行 wbinfo 命令列出域账户和群组,如下所示。
$ sudo apt-get install winbind $ wbinfo -u $ wbinfo -g
列出域账户
20、 同样,也可以针对特定的域用户或群组使用 getent 命令检验 Winbind nsswitch 模块。
$ sudo getent passwd your_domain_user $ sudo getent group ‘domain admins’
检验 Winbind Nsswitch
21、 你也可以用 Linux id 命令获取 AD 账户的信息,命令如下:
$ id tecmint_user
检验 AD 用户信息
22、 用 su - 后跟上域用户名参数来认证 Ubuntu 主机的一个 Samba4 AD 账户。运行 id 命令获取该 AD 账户的更多信息。
$ su - your_ad_user
AD 用户认证
用 pwd 命令查看你的域用户当前工作目录,和用 passwd 命令修改密码。
23、 在 Ubuntu 上使用有 root 权限的域账户,你需要用下面的命令添加 AD 用户名到 sudo 系统群组:
$ sudo usermod -aG sudo your_domain_user@domain.tld
用域账户登录 Ubuntu 并运行 apt update 命令来更新你的系统以检验 root 权限。
24、 给一个域群组 root 权限,用 visudo 命令打开并编辑 /etc/sudoers 文件,并加入如下行:
%domain\ admins@tecmint.lan ALL=(ALL:ALL) ALL
25、 要在 Ubuntu 桌面使用域账户认证,通过编辑 /usr/share/lightdm/lightdm.conf.d/50-ubuntu.conf 文件来修改 LightDM 显示管理器,增加以下两行并重启 lightdm 服务或重启机器应用修改。
greeter-show-manual-login=truegreeter-hide-users=true
域账户用“你的域用户”或“你的域用户@你的域” 格式来登录 Ubuntu 桌面。
26、 为使用 Samba AD 账户的简称格式,编辑 /etc/sssd/sssd.conf 文件,在 [sssd] 块加入如下几行命令。
full_name_format = %1$s
并重启 SSSD 守护进程应用改变。
$ sudo systemctl restart sssd
你会注意到 bash 提示符会变成了没有附加域名部分的 AD 用户名。
27、 万一你因为 sssd.conf 里的 enumerate=true 参数设定而不能登录,你得用下面的命令清空 sssd 缓存数据:
$ rm /var/lib/sss/db/cache_tecmint.lan.ldb
看完了这篇文章,相信你对“怎么用SSSD和Realm集成Ubuntu到Samba4 AD DC”有了一定的了解,如果想了解更多相关知识,欢迎关注创新互联行业资讯频道,感谢各位的阅读!