Integre Ubuntu a Samba4 AD DC con SSSD y Realm-Parte 15
Este tutorial lo guiará sobre cómo unir una máquina Ubuntu Desktop. en un dominio Samba4 Active Directory. con SSSD. y Realmd. para autenticar a los usuarios en un Active Directory.
Requisitos:
- Cree una infraestructura de Active Directory con Samba4 en Ubuntu
Paso 1: Configuraciones iniciales
1.. Antes de comenzar a unir Ubuntu en un Active Directory, asegúrese de que el nombre de host esté configurado correctamente. Utilice el comando hostnamectl. para establecer el nombre de la máquina o edite manualmente el archivo /etc/hostname.
$ sudo hostnamectl set-hostname your_machine_short_hostname $ cat/etc/hostname $ hostnamectl
2.. En el siguiente paso, edite la configuración de la interfaz de red de la máquina y agregue las configuraciones de IP adecuadas y las direcciones de servidor IP DNS correctas para apuntar al controlador de dominio de Samba AD como se ilustra en la siguiente captura de pantalla.
Si ha configurado un servidor DHCP en sus instalaciones para asignar automáticamente la configuración de IP para sus máquinas LAN con las direcciones IP de AD DNS adecuadas, puede omitir este paso y seguir adelante.
Configurar la interfaz de red
En la captura de pantalla anterior, 192.168.1.254. y 192.168.1.253. representan las direcciones IP de los controladores de dominio Samba4 .
3.. Reinicie los servicios de red para aplicar el cambio s usando la GUI o desde la línea de comando y emita una serie de comando ping. contra su nombre de dominio para probar si la resolución de DNS funciona como se esperaba. Además, use el comando host. para probar la resolución de DNS.
$ sudo systemctl restart networking.service $ host your_domain.tld $ ping-c2 your_domain_name $ ping-c2 adc1 $ ping-c2 adc2
4.. Por último, asegúrese de que la hora de la máquina esté sincronizada con Samba4 AD. Instale el paquete ntpdate. y sincronice la hora con el AD emitiendo los siguientes comandos.
$ sudo apt-get install ntpdate $ sudo ntpdate your_domain_name
Paso 2: Instale los paquetes requeridos
5.. En este paso, instale el software necesario y las dependencias requeridas para unir Ubuntu en Samba4 AD DC: servicios Realmd. y SSSD. .
$ sudo apt install adcli realmd krb5-user samba-common-bin samba-libs samba-dsdb-modules sssd sssd-tools libnss-sss libpam-sss packagekit policykit-1
6.. Ingrese el nombre del reino predeterminado con mayúsculas y presione la tecla Enter. para continuar con la instalación.
Establecer nombre de reino
7.. A continuación, cree el archivo de configuración SSSD. con el siguiente contenido.
$ sudo nano/etc/sssd/sssd.conf
Agregue las siguientes líneas al archivo sssd.conf.
[nss] filter_groups = root filter_users = root reconnection_retries = 3 [pam] reconnection_retries = 3 [sssd] domains = tecmint.lan config_file_version = 2 services = nss, pam default_domain_suffix = TECMINT.LAN [dominio/tecmint.lan] ad_domain = tecmint.lan krb5_realm = TECMINT.LAN realmd_tags = administra-sistema unido-con-samba cache_credentials = Verdadero id_provider = ad krb5_store_password_if_offline = True default_shell =/bin/bash ldap_id_mapping = True use_hnamesed_call u access_provider = ad auth_provider = ad chpass_provider = ad access_provider = ad ldap_schema = ad dyndns_update = true dyndns_refresh_interval = 43200 dyndns_update_ptr = true dyndns_ttl = 3600
Asegúrese de reemplazar el nombre de dominio en los siguientes parámetros:
.lan default_domain_suffix = TECMINT.LAN [dominio/tecmint.lan] ad_domain = tecmint.lan krb5_realm = TECMINT.LAN
8. A continuación, agregue los permisos adecuados para el archivo SSSD emitiendo el siguiente comando:
$ sudo chmod 700/etc/sssd/sssd.conf
9.. Ahora, abra y edite Realmd. y agregue las siguientes líneas.
$ sudo nano/etc/realmd.conf
Extracto del archivo Realmd.conf.
[ directorio-activo] os-name = Linux Ubuntu os-version = 17.04 [servicio] instalación-automática = sí [usuarios] inicio-predeterminado =/inicio/% d/% u shell-predeterminado =/bin/bash [tecmint.lan ] user-principal = yes full-qualified-names = no
10.. El último archivo que necesita modificar pertenece al demonio Samba. Abra el archivo /etc/samba/smb.conf. para editar y agregue el siguiente bloque de código al principio del archivo, después de la sección [global]. como se ilustra en la imagen de abajo.
grupo de trabajo = firma del cliente TECMINT = sí uso del cliente spnego = sí método kerberos = secretos y keytab reino = TECMINT.LAN seguridad = anuncios 
Configurar el servidor Samba
Asegúrese de reemplazar el valor de nombre de dominio. especialmente el valor de reino. para que coincida con su nombre de dominio y ejecute testparm. comando para verificar si el archivo de configuración no contiene errores.
$ sudo testparm 
Probar la configuración de Samba
11.. Después de haber hecho todos los cambios requeridos, pruebe la autenticación Kerberos usando una cuenta administrativa de AD y enumere el ticket emitiendo los siguientes comandos.
$ sudo kinit [correo electrónico protegido] $ sudo klist 
Verifique la autenticación Kerberos
Paso 3: Únase a Ubuntu al reino Samba4
12.. Para unir la máquina Ubuntu a Samba4 Active Directory, emita los siguientes serie de comandos como se ilustra a continuación. Utilice el nombre de una cuenta de AD DC con privilegios de administrador para que el enlace al reino funcione como se esperaba y reemplace el valor del nombre de dominio en consecuencia.
$ sudo realm discover-v DOMAIN.TLD $ sudo realm list $ sudo realm unirse a TECMINT.LAN-U ad_admin_user-v $ sudo net ads unirse-k 
Únase a Ubuntu a Samba4 Realm 
Listar información de dominio de reino 
Agregar usuario al dominio del reino 
Agregar dominio al reino
13.. Después de que se realizó la vinculación del dominio, ejecute el siguiente comando para asegurarse de que todas las cuentas de dominio puedan autenticarse en la máquina.
$ sudo realm permit–all
Posteriormente, puede permitir o denegar el acceso a un cuenta de usuario de dominio o un grupo que usa el comando realm como se presenta en los ejemplos a continuación.
$ sudo realm deny-a $ realm permit–groups ‘domain.tld \ Linux Admins’ $ realm permit [email protected] $ realm permit DOMINIO \\ Usuario2
1 4.. Desde una máquina Windows con herramientas RSAT instaladas, puede abrir AD UC. y navegar al contenedor Computadoras. y verificar si una cuenta de objeto con el nombre de su máquina Ha sido creado.
Confirm Domain Added to AD DC
Paso 4: Configurar AD Cuentas autenticadas ication
15.. Para autenticarse en la máquina Ubuntu con cuentas de dominio, debe ejecutar el comando pam-auth-update. con privilegios de root y habilitar todos Perfiles PAM que incluyen la opción de crear automáticamente directorios de inicio para cada cuenta de dominio en el primer inicio de sesión.
Verifique todas las entradas presionando la tecla [espacio]. y presione ok. para aplicar la configuración.
$ sudo pam-auth-update 
Configuración de PAM
16.. En los sistemas, edite manualmente /etc/pam.d/common-account. y la siguiente línea para crear automáticamente hogares para usuarios de dominio autenticados.
Se requiere sesión pam_mkhomedir.so skel =/etc/skel/umask = 0022
17.. Si los usuarios de Active Directory no pueden cambiar su contraseña desde la línea de comandos en Linux, abra el archivo /etc/pam.d/common-password. y elimine la instrucción use_authtok. desde la línea de la contraseña para que finalmente se vea como en el siguiente extracto.
contraseña [éxito = 1 predeterminado = ignorar] pam_winbind.so try_first_pass
18.. Finalmente, reinicie y habilite el servicio Realmd y SSSD para aplicar los cambios emitiendo los siguientes comandos:
$ sudo systemctl restart realmd sssd $ sudo systemctl enable realmd sssd
19.. Para probar si la máquina Ubuntu se integró con éxito en realm, ejecute el paquete install winbind y ejecute el comando wbinfo. para enumerar las cuentas de dominio y los grupos como se ilustra a continuación.
$ sudo apt-obtener la instalación winbind $ wbinfo-u $ wbinfo-g 
Lista de cuentas de dominio
20.. Al por lo tanto, verifique el módulo Winbind nsswitch emitiendo el comando getent. contra un usuario o grupo de dominio específico.
