Ubuntu 16.04-i AD-a Samba we Winbind bilen domen agzasy hökmünde birleşdiriň - 8-nji bölüm


Bu gollanma, faýllar we kataloglar üçin ýerli ACL bilen AD hasaplaryny tassyklamak ýa-da domen gözegçileri üçin ses paýlaryny döretmek we kartalaşdyrmak (faýl serweri hökmünde hereket etmek) üçin Ubuntu enjamyna Samba4 Active Directory domenine nädip goşulmalydygyny düşündirýär.

  1. Ubuntu-da Samba4 bilen işjeň katalog infrastrukturasyny dörediň

1-nji ädim: Ubuntu-a Samba4 AD-a goşulmak üçin başlangyç konfigurasiýalar

1. “Ubuntu” hostyna “Active Directory DC” -e goşulmazdan ozal käbir hyzmatlaryň ýerli enjamda dogry düzülendigine göz ýetirmeli.

Enjamyňyzyň möhüm tarapy, host adyny görkezýär. Hostnamectl buýrugynyň kömegi bilen ýa-da/etc/hostname faýlyny el bilen redaktirlemek arkaly domene girmezden ozal degişli maşyn adyny düzüň.

# hostnamectl set-hostname your_machine_short_name
# cat /etc/hostname
# hostnamectl

2. Indiki ädimde, degişli IP konfigurasiýalary bilen enjam ulgam sazlamalaryňyzy açyň we el bilen redaktirläň. Bu ýerdäki iň möhüm sazlamalar, domen dolandyryjyňyzy görkezýän DNS IP adresleri.

Aşakdaky skrinshotda görkezilişi ýaly degişli AD IP adresleri we domen ady bilen dns-nameservers beýanyny goşuň/etc/network/interfeýs faýlyny goşuň.

Şeýle hem, şol bir DNS IP adresleriniň we domen adynyň /etc/resolv.conf faýlyna goşulandygyna göz ýetiriň.

Aboveokardaky skrinshotda, 192.168.1.254 we 192.168.1.253 Samba4 AD DC-iň IP adresleri we Tecmint.lan äleme birleşdirilen ähli maşynlar tarapyndan soraljak AD domeniniň adyny görkezýär.

3. Täze ulgam konfigurasiýalaryny ulanmak üçin tor hyzmatlaryny täzeden açyň ýa-da enjamy täzeden açyň. DNS çözgüdiniň garaşylyşy ýaly işleýändigini ýa-da ýokdugyny barlamak üçin domen adyňyza garşy ping buýrugy beriň.

AD DC FQDN bilen gaýtalamaly. LAN öý eýeleriňiz üçin IP sazlamalaryny awtomatiki bellemek üçin toruňyzda DHCP serwerini düzen bolsaňyz, DHCP serweriniň DNS konfigurasiýalaryna AD DC IP adreslerini goşýandygyňyzy anyklaň.

# systemctl restart networking.service
# ping -c2 your_domain_name

4. Talap edilýän iň soňky möhüm konfigurasiýa wagt sinhronizasiýasy bilen görkezilýär. Aşakdaky buýruklary çykaryp, ntpdate paketini, talap we AD DC bilen sinhronlamak wagtyny guruň.

$ sudo apt-get install ntpdate
$ sudo ntpdate -q your_domain_name
$ sudo ntpdate your_domain_name

5. Indiki ädimde, aşakdaky buýrugy işledip, domene doly birleşdirilmegi üçin Ubuntu enjamy tarapyndan talap edilýän programma üpjünçiligini guruň.

$ sudo apt-get install samba krb5-config krb5-user winbind libpam-winbind libnss-winbind

Kerberos paketleri gurulýan mahaly, adaty ýeriňiziň adyny ýazmagyňyzy haýyş etmeli. Domeniňiziň adyny baş harplar bilen ulanyň we gurnamagy dowam etdirmek üçin Enter düwmesini basyň.

6. packhli paketler gurlup gutarandan soň, Kerberosyň AD administratiw hasabyna garşy tassyklamasyny barlaň we aşakdaky buýruklary bermek bilen bileti sanaň.

# kinit ad_admin_user
# klist

2-nji ädim: Ubuntu-a Samba4 AD DC-e goşulyň

7. Ubuntu enjamyny Samba4 Active Directory domenine birleşdirmegiň ilkinji ädimi Samba konfigurasiýa faýlyny redaktirlemekdir.

Aşakdaky buýruklary işledip arassa konfigurasiýa bilen başlamak üçin paket dolandyryjysy tarapyndan üpjün edilen Samba deslapky konfigurasiýa faýlyny ätiýaçlaň.

# mv /etc/samba/smb.conf /etc/samba/smb.conf.initial
# nano /etc/samba/smb.conf 

Täze Samba konfigurasiýa faýlynda aşakdaky setirleri goşuň:

[global]
        workgroup = TECMINT
        realm = TECMINT.LAN
        netbios name = ubuntu
        security = ADS
        dns forwarder = 192.168.1.1

idmap config * : backend = tdb        
idmap config *:range = 50000-1000000
	
   template homedir = /home/%D/%U
   template shell = /bin/bash
   winbind use default domain = true
   winbind offline logon = false
   winbind nss info = rfc2307
   winbind enum users = yes
   winbind enum groups = yes

  vfs objects = acl_xattr
  map acl inherit = Yes
  store dos attributes = Yes

Iş toparyny, realm, netbios adyny we dns ekspeditor üýtgeýjilerini öz aýratyn sazlamalaryňyz bilen çalyşyň.

Winbind deslapky domen parametrini ulanmak winbind hyzmatynyň islendik kwalifikasiýa AD ulanyjy atlaryny AD ulanyjylary hökmünde kabul etmegine sebäp bolýar. AD hasaplaryny biri-birine gabat gelýän ýerli ulgam hasaplary atlary bar bolsa, bu parametri taşlamaly.

8. Indi ähli samba daemonlaryny täzeden açmaly we gereksiz hyzmatlary duruzmaly we aýyrmaly we aşakdaky buýruklary çykarmak bilen samba hyzmatlaryny tutuş ulgam boýunça işletmeli.

$ sudo systemctl restart smbd nmbd winbind
$ sudo systemctl stop samba-ad-dc
$ sudo systemctl enable smbd nmbd winbind

9. Aşakdaky buýrugy bermek bilen Ubuntu enjamyna Samba4 AD DC-e goşulyň. Häkimiýetiň garaşylşy ýaly işlemegi üçin administrator aýratynlyklary bolan AD DC hasabynyň adyny ulanyň.

$ sudo net ads join -U ad_admin_user

10. Gurlan RSAT gurallary bolan Windows enjamyndan AD UC açyp, Kompýuterleriň konteýnerine geçip bilersiňiz. Bu ýerde Ubuntu birikdirilen enjamyňyz sanawda bolmaly.

3-nji ädim: AD hasaplarynyň hakykylygyny sazlaň

11. machineerli enjamda AD hasaplary üçin tassyklamany ýerine ýetirmek üçin ýerli enjamdaky käbir hyzmatlary we faýllary üýtgetmeli.

Ilki bilen “Name Service Switch” (NSS) konfigurasiýa faýlyny açyň we redaktirläň.

$ sudo nano /etc/nsswitch.conf

Aşakdaky bölekde görkezilişi ýaly passwd we topar setirleri üçin winbind bahasyny goşuň.

passwd:         compat winbind
group:          compat winbind

12. “Ubuntu” enjamynyň domen hasaplaryny we toparlaryny sanamak üçin “wbinfo” buýrugyna üstünlikli birikdirilendigini barlamak üçin.

$ wbinfo -u
$ wbinfo -g

13. Şeýle hem, getent buýrugyny berip, Winbind nsswitch modulyny barlaň we netijeleri diňe belli domen ulanyjylary ýa-da toparlary üçin çäklendirmek üçin grep ýaly süzgüç arkaly geçiriň.

$ sudo getent passwd| grep your_domain_user
$ sudo getent group|grep 'domain admins'

14. Ubuntu enjamynda domen hasaplary bilen tassyklamak üçin kök aýratynlyklary bilen pam-auth-update buýrugyny işletmeli we winbind hyzmaty üçin zerur bolan ähli ýazgylary goşmaly we ilkinji girişde her domen hasaby üçin öý kataloglaryny awtomatiki döretmeli.

[space] düwmesini basyp, ähli ýazgylary barlaň we konfigurasiýa ulanmak üçin ok basyň.

$ sudo pam-auth-update

15. Debian ulgamlarynda tassyklanan domen ulanyjylary üçin öýleri awtomatiki döretmek üçin /etc/pam.d/common-account faýlyny we aşakdaky setiri el bilen redaktirlemeli.

session    required    pam_mkhomedir.so    skel=/etc/skel/    umask=0022

16. “Active Directory” ulanyjylarynyň Linux açyk /etc/pam.d/common-password faýlyndaky buýruk setirinden paroly üýtgedip bilmekleri we aşakdaky bölekdäki ýaly görünmek üçin parol setirinden use_authtok jümlesini aýyrmak üçin.

password       [success=1 default=ignore]      pam_winbind.so try_first_pass

17. Ubuntu hostynda Samba4 AD hasaby bilen tassyklamak üçin su - buýrugyndan soň domen ulanyjy adynyň parametrini ulanyň. AD hasaby barada goşmaça maglumat almak üçin id buýrugyny işlediň.

$ su - your_ad_user

Parolyňyzy üýtgetmek isleseňiz, domen ulanyjynyň häzirki katalogyny we passwd buýrugyny görmek üçin pwd buýrugyny ulanyň.

18. Ubuntu enjamyňyzda kök aýratynlyklary bolan domen hasaby ulanmak üçin aşakdaky buýrugy bermek bilen sudo ulgam toparyna AD ulanyjy adyny goşmaly:

$ sudo usermod -aG sudo your_domain_user

Domen hasaby bilen Ubuntu-a giriň we domen ulanyjysynyň kök aýratynlyklarynyň bardygyny ýa-da ýokdugyny barlamak üçin apt-get update buýrugyny işledip ulgamyňyzy täzeläň.

19. Domen topary üçin kök artykmaçlyklaryny goşmak üçin visudo buýrugyny ulanyp, ahyrky redaktirleme/etc/sudoers faýly açyň we aşakdaky skrinshotda görkezilişi ýaly aşakdaky setiri goşuň.

%YOUR_DOMAIN\\your_domain\  group       		 ALL=(ALL:ALL) ALL

Domen toparyňyzyň adyndaky boşluklardan gaçmak ýa-da ilkinji yza gaýdyp gelmek üçin arka çyzgylaryny ulanyň. Aboveokardaky mysalda TECMINT giňişligi üçin domen toparyna\domen administratorlary diýilýär.

Öňki göterim belgisi (%) nyşany, ulanyjy adyny däl-de, bir topara degişlidigimizi görkezýär.

20. Ubuntu-nyň grafiki wersiýasyny işleýän bolsaňyz we domen ulanyjysy bilen ulgama girmek isleýän bolsaňyz, /usr/share/lightdm/lightdm.conf.d/50-ubuntu redaktirläp, LightDM displeý dolandyryjysyny üýtgetmeli. .conf faýly, aşakdaky setirleri goşuň we üýtgeşmeleri görkezmek üçin enjamy täzeden açyň.

greeter-show-manual-login=true
greeter-hide-users=true

Indi Ubuntu Desktop-da domen hasaby bilen ýa-da domain_username ýa-da [e-poçta bilen goralan] _domain.tld ýa-da_domain\your_domain_username formatyňyzy ulanyp, domen hasaby bilen girişleri amala aşyrmagy başarmaly.