Integre Ubuntu a Samba4 AD DC con SSSD y Realm-Parte 15

Integre Ubuntu a Samba4 AD DC con SSSD y Realm-Parte 15

Este tutorial lo guiará sobre cómo unir una máquina Ubuntu Desktop. en un dominio Samba4 Active Directory. con SSSD. y Realmd. para autenticar a los usuarios en un Active Directory.

Requisitos:

  1. Cree una infraestructura de Active Directory con Samba4 en Ubuntu

Paso 1: Configuraciones iniciales

1.. Antes de comenzar a unir Ubuntu en un Active Directory, asegúrese de que el nombre de host esté configurado correctamente. Utilice el comando hostnamectl. para establecer el nombre de la máquina o edite manualmente el archivo /etc/hostname.

$ sudo hostnamectl set-hostname your_machine_short_hostname $ cat/etc/hostname $ hostnamectl

2.. En el siguiente paso, edite la configuración de la interfaz de red de la máquina y agregue las configuraciones de IP adecuadas y las direcciones de servidor IP DNS correctas para apuntar al controlador de dominio de Samba AD como se ilustra en la siguiente captura de pantalla.

Si ha configurado un servidor DHCP en sus instalaciones para asignar automáticamente la configuración de IP para sus máquinas LAN con las direcciones IP de AD DNS adecuadas, puede omitir este paso y seguir adelante.

 Configurar interfaz de red  Configurar interfaz de red Configurar la interfaz de red

En la captura de pantalla anterior, 192.168.1.254. y 192.168.1.253. representan las direcciones IP de los controladores de dominio Samba4 .

3.. Reinicie los servicios de red para aplicar el cambio s usando la GUI o desde la línea de comando y emita una serie de comando ping. contra su nombre de dominio para probar si la resolución de DNS funciona como se esperaba. Además, use el comando host. para probar la resolución de DNS.

$ sudo systemctl restart networking.service $ host your_domain.tld $ ping-c2 your_domain_name $ ping-c2 adc1 $ ping-c2 adc2

4.. Por último, asegúrese de que la hora de la máquina esté sincronizada con Samba4 AD. Instale el paquete ntpdate. y sincronice la hora con el AD emitiendo los siguientes comandos.

$ sudo apt-get install ntpdate $ sudo ntpdate your_domain_name

Paso 2: Instale los paquetes requeridos

5.. En este paso, instale el software necesario y las dependencias requeridas para unir Ubuntu en Samba4 AD DC: servicios Realmd. y SSSD. .

$ sudo apt install adcli realmd krb5-user samba-common-bin samba-libs samba-dsdb-modules sssd sssd-tools libnss-sss libpam-sss packagekit policykit-1

6.. Ingrese el nombre del reino predeterminado con mayúsculas y presione la tecla Enter. para continuar con la instalación.

Establecer nombre de reino  Establecer nombre de reino Establecer nombre de reino

7.. A continuación, cree el archivo de configuración SSSD. con el siguiente contenido.

$ sudo nano/etc/sssd/sssd.conf

Agregue las siguientes líneas al archivo sssd.conf.

[nss] filter_groups = root filter_users = root reconnection_retries = 3 [pam] reconnection_retries = 3 [sssd] domains = tecmint.lan config_file_version = 2 services = nss, pam default_domain_suffix = TECMINT.LAN [dominio/tecmint.lan] ad_domain = tecmint.lan krb5_realm = TECMINT.LAN realmd_tags = administra-sistema unido-con-samba cache_credentials = Verdadero id_provider = ad krb5_store_password_if_offline = True default_shell =/bin/bash ldap_id_mapping = True use_hnamesed_call u access_provider = ad auth_provider = ad chpass_provider = ad access_provider = ad ldap_schema = ad dyndns_update = true dyndns_refresh_interval = 43200 dyndns_update_ptr = true dyndns_ttl = 3600

Asegúrese de reemplazar el nombre de dominio en los siguientes parámetros:

.lan default_domain_suffix = TECMINT.LAN [dominio/tecmint.lan] ad_domain = tecmint.lan krb5_realm = TECMINT.LAN

8. A continuación, agregue los permisos adecuados para el archivo SSSD emitiendo el siguiente comando:

$ sudo chmod 700/etc/sssd/sssd.conf

9.. Ahora, abra y edite Realmd. y agregue las siguientes líneas.

$ sudo nano/etc/realmd.conf

Extracto del archivo Realmd.conf.

[ directorio-activo] os-name = Linux Ubuntu os-version = 17.04 [servicio] instalación-automática = sí [usuarios] inicio-predeterminado =/inicio/% d/% u shell-predeterminado =/bin/bash [tecmint.lan ] user-principal = yes full-qualified-names = no

10.. El último archivo que necesita modificar pertenece al demonio Samba. Abra el archivo /etc/samba/smb.conf. para editar y agregue el siguiente bloque de código al principio del archivo, después de la sección [global]. como se ilustra en la imagen de abajo.

grupo de trabajo = firma del cliente TECMINT = sí uso del cliente spnego = sí método kerberos = secretos y keytab reino = TECMINT.LAN seguridad = anuncios  Configurar el servidor Samba  Configurar servidor Samba Configurar el servidor Samba

Asegúrese de reemplazar el valor de nombre de dominio. especialmente el valor de reino. para que coincida con su nombre de dominio y ejecute testparm. comando para verificar si el archivo de configuración no contiene errores.

$ sudo testparm  Configuración de prueba de Samba  Configuración de prueba de Samba Probar la configuración de Samba

11.. Después de haber hecho todos los cambios requeridos, pruebe la autenticación Kerberos usando una cuenta administrativa de AD y enumere el ticket emitiendo los siguientes comandos.

$ sudo kinit [correo electrónico protegido] $ sudo klist Comprobar autenticación Kerberos  Verificar la autenticación Kerberos Verifique la autenticación Kerberos

Paso 3: Únase a Ubuntu al reino Samba4

12.. Para unir la máquina Ubuntu a Samba4 Active Directory, emita los siguientes serie de comandos como se ilustra a continuación. Utilice el nombre de una cuenta de AD DC con privilegios de administrador para que el enlace al reino funcione como se esperaba y reemplace el valor del nombre de dominio en consecuencia.

$ sudo realm discover-v DOMAIN.TLD $ sudo realm list $ sudo realm unirse a TECMINT.LAN-U ad_admin_user-v $ sudo net ads unirse-k  Únete a Ubuntu a Samba4 Realm Únete a Ubuntu a Samba4 Realm Únase a Ubuntu a Samba4 Realm  List Realm Domain Info Listar información de dominio de reino Listar información de dominio de reino  Agregar usuario al dominio del reino  Agregar usuario al dominio Realm Agregar usuario al dominio del reino  Mostrar información de dominio de reino  Mostrar información de dominio de reino Agregar dominio al reino

13.. Después de que se realizó la vinculación del dominio, ejecute el siguiente comando para asegurarse de que todas las cuentas de dominio puedan autenticarse en la máquina.

$ sudo realm permit–all

Posteriormente, puede permitir o denegar el acceso a un cuenta de usuario de dominio o un grupo que usa el comando realm como se presenta en los ejemplos a continuación.

$ sudo realm deny-a $ realm permit–groups ‘domain.tld \ Linux Admins’ $ realm permit [email protected] $ realm permit DOMINIO \\ Usuario2

1 4.. Desde una máquina Windows con herramientas RSAT instaladas, puede abrir AD UC. y navegar al contenedor Computadoras. y verificar si una cuenta de objeto con el nombre de su máquina Ha sido creado.

 Confirmar dominio agregado a AD DC  Confirmar dominio agregado a AD DC Confirm Domain Added to AD DC

Paso 4: Configurar AD Cuentas autenticadas ication

15.. Para autenticarse en la máquina Ubuntu con cuentas de dominio, debe ejecutar el comando pam-auth-update. con privilegios de root y habilitar todos Perfiles PAM que incluyen la opción de crear automáticamente directorios de inicio para cada cuenta de dominio en el primer inicio de sesión.

Verifique todas las entradas presionando la tecla [espacio]. y presione ok. para aplicar la configuración.

$ sudo pam-auth-update Configuración de PAM  Configuración PAM Configuración de PAM

16.. En los sistemas, edite manualmente /etc/pam.d/common-account. y la siguiente línea para crear automáticamente hogares para usuarios de dominio autenticados.

Se requiere sesión pam_mkhomedir.so skel =/etc/skel/umask = 0022

17.. Si los usuarios de Active Directory no pueden cambiar su contraseña desde la línea de comandos en Linux, abra el archivo /etc/pam.d/common-password. y elimine la instrucción use_authtok. desde la línea de la contraseña para que finalmente se vea como en el siguiente extracto.

contraseña [éxito = 1 predeterminado = ignorar] pam_winbind.so try_first_pass

18.. Finalmente, reinicie y habilite el servicio Realmd y SSSD para aplicar los cambios emitiendo los siguientes comandos:

$ sudo systemctl restart realmd sssd $ sudo systemctl enable realmd sssd

19.. Para probar si la máquina Ubuntu se integró con éxito en realm, ejecute el paquete install winbind y ejecute el comando wbinfo. para enumerar las cuentas de dominio y los grupos como se ilustra a continuación.

$ sudo apt-obtener la instalación winbind $ wbinfo-u $ wbinfo-g Lista Cuentas de dominio  Lista de cuentas de dominio Lista de cuentas de dominio

20.. Al por lo tanto, verifique el módulo Winbind nsswitch emitiendo el comando getent. contra un usuario o grupo de dominio específico.