Integre Ubuntu 16.04 a AD como miembro de dominio con Samba y Winbind-Parte 8

Integre Ubuntu 16.04 a AD como miembro de dominio con Samba y Winbind-Parte 8

Este tutorial describe cómo unir una máquina Ubuntu a un dominio Samba4 Active Directory. para autenticar cuentas AD. con ACL. locales para archivos y directorios o para crear y asignar volúmenes compartidos para usuarios de controladores de dominio (actuar como servidor de archivos).

Requisitos:

  1. Cree una infraestructura de Active Directory con Samba4 en Ubuntu

Paso 1: Configuraciones iniciales para unir Ubuntu a Samba4 AD

1.. Antes de comenzar a unir un host Ubuntu. en un DC de Active Directory. debe asegurarse de que algunos servicios estén configurados correctamente en la máquina local.

Un aspecto importante de su máquina es el nombre de host. Configure un nombre de máquina adecuado antes de unirse al dominio con la ayuda del comando hostnamectl. o editando manualmente el archivo /etc/hostname.

# hostnamectl set-hostname your_machine_short_name # cat/etc/hostname # hostnamectl  Establecer nombre de host del sistema  Establecer el nombre de host del sistema Establecer el nombre de host del sistema

2.. En el En el siguiente paso, abra y edite manualmente la configuración de red de su máquina con las configuraciones de IP adecuadas. La configuración más importante aquí son las direcciones IP de DNS que apuntan a su controlador de dominio.

Edite el archivo /etc/network/interfaces. y agregue la declaración dns-nameservers. con sus direcciones IP de AD y el nombre de dominio adecuados como se ilustra en la captura de pantalla siguiente .

freestar.config.enabled_slots.push

Además, asegúrese de que se agreguen las mismas direcciones IP de DNS y el nombre de dominio en /etc/resolv.conf. archivo.

Configurar las configuraciones de red para AD  Configurar ajustes de red para AD Configure los ajustes de red para AD

En la captura de pantalla anterior, 192.168.1.254. y 192.168.1.253. son las direcciones IP de Samba4 AD DC. y Tecmint.lan. representa la nombre del dominio AD que será consultado por todas las máquinas integradas en el reino.

3.. Reinicie los servicios de red o reinicie la máquina para aplicar las nuevas configuraciones de red. Emita un comando ping. contra su nombre de dominio para probar si la resolución de DNS funciona como se esperaba.

El AD DC. debería reproducirse con su FQDN. En caso de que haya configurado un servidor DHCP en su red para asignar automáticamente la configuración de IP para sus hosts de LAN, asegúrese de agregar direcciones IP de AD DC a las configuraciones de DNS del servidor DHCP.

# systemctl restart networking.service # ping-c2 your_domain_name

4.. La última configuración importante requerida está representada por la sincronización de tiempo. Instale el paquete ntpdate. consulte y sincronice la hora con AD DC. emitiendo los siguientes comandos.

$ sudo apt-get install ntpdate $ sudo ntpdate-q your_domain_name $ sudo ntpdate your_domain_name  Hora Sincronización con AD Sincronización de tiempo con AD Sincronización de tiempo con AD

5.. En el siguiente paso, instale el software requerido por la máquina Ubuntu para estar completamente integrado en el dominio ejecutando el siguiente comando.

$ sudo apt-get install samba krb5-config krb5-user winbind libpam-winbind libnss-winbind  Instalar Samba4 en Ubuntu Client  Instalar Samba4 en Ubuntu Client Instalar Samba4 en Ubuntu Client

Mientras se instalan los paquetes de Kerberos, se le debe pedir que ingrese el nombre de su reino predeterminado . Use el nombre de su dominio en mayúsculas y presione la tecla Enter. para continuar con la instalación.

Agregar nombre de dominio de AD  Agregar nombre de dominio de AD Agregar nombre de dominio de AD

6.. Una vez que todos los paquetes terminen de instalarse, pruebe la autenticación Kerberos. con una cuenta administrativa de AD y enumere el ticket emitiendo el debajo de los comandos.

# kinit ad_admin_user # klist Verificar la autenticación Kerberos con AD  Verifique la autenticación Kerberos con AD Verifique la autenticación Kerberos con AD

Paso 2: Unir Ubuntu a Samba4 AD DC

7.. El primer paso para integrar la máquina Ubuntu en Samba4 Active Directory dominio es para editar el archivo de configuración de Samba.

Haga una copia de seguridad del archivo de configuración predeterminado de Samba, proporcionado por el administrador de paquetes, para comenzar con una configuración limpia ejecutando los siguientes comandos.

# mv/etc/samba/smb.conf/etc/samba/smb.conf.initial # nano/etc/samba/smb.conf

En el nuevo archivo de configuración de Samba, agregue las siguientes líneas:

[global]. grupo de trabajo = TECMINT reino = TECMINT.LAN netbios nombre = ubuntu seguridad = ADS dns forwarder = 192.168.1.1 idmap config *: backend = tdb idmap config *: range = 50000-1000000 template homedir =/home/% D/% U template shell =/bin/bash winbind use default domain = true winbind offline logon = false winbind nss info = rfc2307 winbind enum users = yes winbind enum groups = yes vfs objects = acl_xattr map acl heredar = Sí almacenar dos atributos = Sí  Configurar Samba para AD  Configurar Samba para AD Configurar Samba para AD

Reemplazar grupo de trabajo. reino. nombre de netbios. y dns forwarder. con sus propias configuraciones personalizadas.

El parámetro winbind use default domain. hace que el servicio winbind. trate cualquier nombre de usuario de AD no calificado como usuarios de AD. Debe omitir este parámetro si tiene nombres de cuentas del sistema local que se superponen a las cuentas de AD.

8.. Ahora debe reiniciar todos los demonios de samba y detener y eliminar los servicios innecesarios y habilitar los servicios de samba en todo el sistema emitiendo los siguientes comandos.

$ sudo systemctl restart smbd nmbd winbind $ sudo systemctl stop samba-ad-dc $ sudo systemctl enable smbd nmbd winbind

9.. Únete a Ubuntu machine a Samba4 AD DC. emitiendo el siguiente comando. Utilice el nombre de una cuenta de AD DC con privilegios de administrador para que el enlace al reino funcione como se esperaba.

$ sudo net ads se une a-U ad_admin_user  Únete a Ubuntu a Samba4 AD DC Únase a Ubuntu a Samba4 AD DC Unir Ubuntu a Samba4 AD DC

10.. Desde una máquina Windows con herramientas RSAT instalado, puede abrir AD UC. y navegar al contenedor Computadoras. Aquí, su máquina unida a Ubuntu debería aparecer en la lista.

 Confirmar el cliente de Ubuntu en Windows AD DC  Confirmar Cliente Ubuntu en Windows AD DC Confirmar el cliente Ubuntu en Windows AD DC

Paso 3: Configurar la autenticación de cuentas AD

11.. Para realizar la autenticación de cuentas AD en la máquina local, necesita modificar algunos servicios y archivos en la máquina local.

Primero, abra y edite el archivo de configuración The Name Service Switch. ( NSS. .

$ sudo nano/etc/nsswitch.conf

A continuación, agregue el valor winbind para passwd y agrupe las líneas como se ilustra en el siguiente extracto.

passwd: compat winbind group: compat winbind Configurar autenticación de cuentas AD  Configurar autenticación de cuentas AD Configurar autenticación de cuentas AD

12.. Para probar si la máquina Ubuntu se integró con éxito al reino, ejecute el comando wbinfo. para enumerar las cuentas y grupos de dominio.

$ wbinfo-u $ wbinfo-g  Lista de cuentas y grupos de dominio de AD Lista de cuentas de dominio AD y Grupos Listar grupos y cuentas de dominio de AD

13.. Además, consulte el módulo Winbind nsswitch emitiendo el comando getent. y canalizando los resultados a través de un filtro como grep. para limitar la salida solo para usuarios o grupos de dominio específicos.

$ sudo getent passwd | grep your_domain_user $ sudo getent group | grep ‘administradores de dominio’ Comprobar usuarios y grupos de dominio de AD  Verificar usuarios y grupos de dominio AD Verificar usuarios y grupos de dominio de AD

14.. Para autenticarse en la máquina Ubuntu con cuentas de dominio, debe ejecutar el comando pam-auth-update. con privilegios de root y agregue todas las entradas necesarias para el servicio winbind y para crear automáticamente directorios de inicio para cada cuenta de dominio en el primer inicio de sesión.

Verifique todas las entradas presionando la tecla [espacio] y presione ok. para aplicar la configuración.

$ sudo pam-auth-update  Autenticar Ubuntu con cuentas de dominio  Autenticar Ubuntu con cuentas de dominio Autenticar Ubuntu con cuentas de dominio

15.. En los sistemas Debian es necesario editar manualmente /etc/pam.d/common-account. y la siguiente línea para crear automáticamente hogares para usuarios de dominio autenticados.

sesión requerida pam_mkhomedir.so skel =/etc/skel/umask = 0022  Autenticar Debian con cuentas de dominio  Autenticar Debian con cuentas de dominio Autenticar Debian con cuentas de dominio

16.. Para que los usuarios de Active Directory. puedan cambiar la contraseña desde la línea de comandos en Linux, abra /etc/pam.d/common-password. y elimine la instrucción use_authtok. de la línea de contraseña para que finalmente se vea como en el siguiente extracto.

contraseña [éxito = 1 predeterminado = ignorar] pam_winbind.so try_first_pass  Usuarios autorizados a cambiar la contraseña  Usuarios autorizados a cambiar la contraseña Usuarios permitidos para cambiar la contraseña

17.. Para autenticarse en un host Ubuntu con una cuenta Samba4 AD, use el parámetro de nombre de usuario del dominio después del comando su-. Ejecute el comando id para obtener información adicional sobre la cuenta de AD.

$ su-your_ad_user  Buscar AD Información del usuario  Encuentre información de usuario de AD Buscar información de usuario de AD

Utilice el comando pwd para ver el directorio actual del usuario de su dominio y el comando passwd si desea cambiar la contraseña.

18.. Para usar una cuenta de dominio con privilegios de root en su máquina Ubuntu, debe agregar el nombre de usuario de AD al grupo del sistema sudo emitiendo el siguiente comando:

$ sudo usermod-aG sudo your_domain_user

Inicie sesión en Ubuntu con la cuenta de dominio y actualice su sistema ejecutando el comando apt-get update. para verificar si el usuario del dominio tiene privilegios de root.