Website-Suche

Integrieren Sie Ubuntu 16.04 als Domänenmitglied mit Samba und Winbind in AD – Teil 8

In diesem Tutorial wird beschrieben, wie Sie eine Ubuntu-Maschine einer Samba4 Active Directory-Domäne hinzufügen, um AD-Konten mit lokaler ACL für Dateien und Verzeichnisse zu authentifizieren zum Erstellen und Zuordnen von Volume-Freigaben für Domänencontroller-Benutzer (die als Dateiserver fungieren).

Anforderungen:

  1. Erstellen Sie eine Active Directory-Infrastruktur mit Samba4 unter Ubuntu

Schritt 1: Erstkonfigurationen zur Verknüpfung von Ubuntu mit Samba4 AD

1. Bevor Sie mit dem Beitritt eines Ubuntu-Hosts zu einem Active Directory DC beginnen, müssen Sie sicherstellen, dass einige Dienste auf dem lokalen Computer ordnungsgemäß konfiguriert sind.

Ein wichtiger Aspekt Ihrer Maschine ist der Hostname. Richten Sie vor dem Beitritt zur Domäne mithilfe des Befehls hostnamectl oder durch manuelles Bearbeiten der Datei /etc/hostname einen korrekten Maschinennamen ein.


hostnamectl set-hostname your_machine_short_name
cat /etc/hostname
hostnamectl

2. Öffnen Sie im nächsten Schritt die Netzwerkeinstellungen Ihres Geräts und bearbeiten Sie sie manuell mit den richtigen IP-Konfigurationen. Die wichtigsten Einstellungen hier sind die DNS-IP-Adressen, die auf Ihren Domänencontroller verweisen.

Bearbeiten Sie die Datei /etc/network/interfaces und fügen Sie die Anweisung dns-nameservers mit Ihren richtigen AD-IP-Adressen und Domänennamen hinzu, wie im folgenden Screenshot dargestellt.

Stellen Sie außerdem sicher, dass der Datei /etc/resolv.conf dieselben DNS-IP-Adressen und der Domänenname hinzugefügt werden.

Im obigen Screenshot sind 192.168.1.254 und 192.168.1.253 die IP-Adressen von Samba4 AD DC und Tecmint.lan< stellt den Namen der AD-Domäne dar, die von allen in den Bereich integrierten Maschinen abgefragt wird.

3. Starten Sie die Netzwerkdienste neu oder starten Sie den Computer neu, um die neuen Netzwerkkonfigurationen zu übernehmen. Geben Sie einen Ping-Befehl für Ihren Domainnamen aus, um zu testen, ob die DNS-Auflösung wie erwartet funktioniert.

Der AD DC sollte mit seinem FQDN wiedergeben. Falls Sie einen DHCP-Server in Ihrem Netzwerk so konfiguriert haben, dass er Ihren LAN-Hosts automatisch IP-Einstellungen zuweist, stellen Sie sicher, dass Sie AD DC-IP-Adressen zu den DNS-Konfigurationen des DHCP-Servers hinzufügen.


systemctl restart networking.service
ping -c2 your_domain_name

4. Die letzte wichtige erforderliche Konfiguration ist die Zeitsynchronisation. Installieren Sie das ntpdate-Paket, fragen Sie die Zeit ab und synchronisieren Sie sie mit dem AD DC, indem Sie die folgenden Befehle ausführen.


sudo apt-get install ntpdate
sudo ntpdate -q your_domain_name
sudo ntpdate your_domain_name

5. Installieren Sie im nächsten Schritt die Software, die der Ubuntu-Computer benötigt, um vollständig in die Domäne integriert zu werden, indem Sie den folgenden Befehl ausführen.


sudo apt-get install samba krb5-config krb5-user winbind libpam-winbind libnss-winbind

Während der Installation der Kerberos-Pakete sollten Sie aufgefordert werden, den Namen Ihres Standardbereichs einzugeben. Geben Sie den Namen Ihrer Domain in Großbuchstaben ein und drücken Sie die Eingabetaste, um mit der Installation fortzufahren.

6. Nachdem die Installation aller Pakete abgeschlossen ist, testen Sie die Kerberos-Authentifizierung anhand eines AD-Administratorkontos und listen Sie das Ticket auf, indem Sie die folgenden Befehle ausführen.


kinit ad_admin_user
klist

Schritt 2: Verbinden Sie Ubuntu mit Samba4 AD DC

7. Der erste Schritt bei der Integration der Ubuntu-Maschine in die Samba4 Active Directory-Domäne ist die Bearbeitung der Samba-Konfigurationsdatei.

Sichern Sie die vom Paketmanager bereitgestellte Standardkonfigurationsdatei von Samba, um mit einer sauberen Konfiguration zu beginnen, indem Sie die folgenden Befehle ausführen.


mv /etc/samba/smb.conf /etc/samba/smb.conf.initial
nano /etc/samba/smb.conf 

Fügen Sie in der neuen Samba-Konfigurationsdatei die folgenden Zeilen hinzu:


[global]
        workgroup = TECMINT
        realm = TECMINT.LAN
        netbios name = ubuntu
        security = ADS
        dns forwarder = 192.168.1.1

idmap config * : backend = tdb        
idmap config *:range = 50000-1000000
	
   template homedir = /home/%D/%U
   template shell = /bin/bash
   winbind use default domain = true
   winbind offline logon = false
   winbind nss info = rfc2307
   winbind enum users = yes
   winbind enum groups = yes

  vfs objects = acl_xattr
  map acl inherit = Yes
  store dos attributes = Yes

Ersetzen Sie die Variablen Arbeitsgruppe, Bereich, NetBIOS-Name und DNS-Weiterleitung durch Ihre eigenen benutzerdefinierten Einstellungen.

Der Parameter winbind use default domain bewirkt, dass der winbind-Dienst alle nicht qualifizierten AD-Benutzernamen als Benutzer des AD behandelt. Sie sollten diesen Parameter weglassen, wenn Sie lokale Systemkontonamen haben, die sich mit AD-Konten überschneiden.

8. Jetzt sollten Sie alle Samba-Daemons neu starten und unnötige Dienste stoppen und entfernen und Samba-Dienste systemweit aktivieren, indem Sie die folgenden Befehle ausgeben.


sudo systemctl restart smbd nmbd winbind
sudo systemctl stop samba-ad-dc
sudo systemctl enable smbd nmbd winbind

9. Verbinden Sie die Ubuntu-Maschine mit Samba4 AD DC, indem Sie den folgenden Befehl ausgeben. Verwenden Sie den Namen eines AD DC-Kontos mit Administratorrechten, damit die Bindung an den Bereich wie erwartet funktioniert.


sudo net ads join -U ad_admin_user

10. Auf einem Windows-Computer mit installierten RSAT-Tools können Sie AD UC öffnen und zum Container Computer navigieren. Hier sollte Ihr mit Ubuntu verbundener Computer aufgelistet sein.

Schritt 3: Konfigurieren Sie die Authentifizierung von AD-Konten

11. Um die Authentifizierung für AD-Konten auf dem lokalen Computer durchzuführen, müssen Sie einige Dienste und Dateien auf dem lokalen Computer ändern.

Öffnen und bearbeiten Sie zunächst die Konfigurationsdatei The Name Service Switch (NSS).


sudo nano /etc/nsswitch.conf

Als nächstes hängen Sie den Winbind-Wert für passwd- und Gruppenzeilen an, wie im folgenden Auszug dargestellt.


passwd:         compat winbind
group:          compat winbind

12. Um zu testen, ob die Ubuntu-Maschine erfolgreich in den Realm integriert wurde, führen Sie den Befehl wbinfo aus, um Domänenkonten und -gruppen aufzulisten.


wbinfo -u
wbinfo -g

13. Überprüfen Sie außerdem das Winbind-nsswitch-Modul, indem Sie den Befehl getent ausführen und die Ergebnisse durch einen Filter wie grep weiterleiten, um die Ausgabe nur einzuschränken bestimmte Domänenbenutzer oder -gruppen.


sudo getent passwd| grep your_domain_user
sudo getent group|grep 'domain admins'

14. Um sich auf einem Ubuntu-Computer mit Domänenkonten zu authentifizieren, müssen Sie den Befehl pam-auth-update mit Root-Rechten ausführen und alle für den Winbind-Dienst erforderlichen Einträge hinzufügen Erstellen Sie bei der ersten Anmeldung automatisch Home-Verzeichnisse für jedes Domänenkonto.

Überprüfen Sie alle Einträge, indem Sie die [Leertaste]-Taste drücken und auf OK klicken, um die Konfiguration zu übernehmen.


sudo pam-auth-update

15. Auf Debian-Systemen müssen Sie die Datei /etc/pam.d/common-account und die folgende Zeile manuell bearbeiten, um automatisch Homes für authentifizierte Domänenbenutzer zu erstellen.


session    required    pam_mkhomedir.so    skel=/etc/skel/    umask=0022

16. Damit Active Directory-Benutzer das Passwort über die Befehlszeile unter Linux ändern können, öffnen Sie /etc/pam.d/common-password Datei und entfernen Sie die Anweisung use_authtok aus der Passwortzeile, um schließlich wie im folgenden Auszug auszusehen.


password       [success=1 default=ignore]      pam_winbind.so try_first_pass

17. Um sich auf einem Ubuntu-Host mit einem Samba4 AD-Konto zu authentifizieren, verwenden Sie den Parameter „Domänenbenutzername“ nach dem Befehl „su“. Führen Sie den Befehl id aus, um zusätzliche Informationen zum AD-Konto zu erhalten.


su - your_ad_user

Verwenden Sie den Befehl pwd, um das aktuelle Verzeichnis Ihres Domänenbenutzers anzuzeigen, und den Befehl passwd, wenn Sie das Kennwort ändern möchten.

18. Um ein Domänenkonto mit Root-Rechten auf Ihrem Ubuntu-Computer zu verwenden, müssen Sie den AD-Benutzernamen zur Sudo-Systemgruppe hinzufügen, indem Sie den folgenden Befehl ausführen:


sudo usermod -aG sudo your_domain_user

Melden Sie sich mit dem Domänenkonto bei Ubuntu an und aktualisieren Sie Ihr System, indem Sie den Befehl apt-get update ausführen, um zu überprüfen, ob der Domänenbenutzer über Root-Rechte verfügt.

19. Um Root-Berechtigungen für eine Domänengruppe hinzuzufügen, öffnen und bearbeiten Sie die Datei /etc/sudoers mit dem Befehl visudo und fügen Sie die folgende Zeile wie abgebildet hinzu auf dem Screenshot unten.


%YOUR_DOMAIN\\your_domain\  group       		 ALL=(ALL:ALL) ALL

Verwenden Sie Backslashes, um Leerzeichen in Ihrem Domänengruppennamen oder den ersten Backslash zu maskieren. Im obigen Beispiel heißt die Domänengruppe für den TECMINT-Bereich „domain admins“.

Das vorangehende Prozentzeichen (%) zeigt an, dass es sich um eine Gruppe und nicht um einen Benutzernamen handelt.

20. Falls Sie die grafische Version von Ubuntu verwenden und sich mit einem Domänenbenutzer am System anmelden möchten, müssen Sie den LightDM-Anzeigemanager ändern, indem Sie /usr/share/lightdm bearbeiten /lightdm.conf.d/50-ubuntu.conf, fügen Sie die folgenden Zeilen hinzu und starten Sie den Computer neu, um die Änderungen zu übernehmen.


greeter-show-manual-login=true
greeter-hide-users=true

Es sollte nun in der Lage sein, Anmeldungen auf Ubuntu Desktop mit einem Domänenkonto im Format Ihr_Domänenbenutzername oder Ihr_Domänenbenutzername@Ihre_Domäne.tld oder Ihre_Domäne\Ihr_Domänenbenutzername durchzuführen .