SSS4 और दायरे - 15 के साथ Samba4 AD DC में उबंटू को एकीकृत करें


यह ट्यूटोरियल आपको एक Ubuntu डेस्कटॉप मशीन से Samba4 सक्रिय निर्देशिका डोमेन में SSSD और Realmd एक सक्रिय निर्देशिका के खिलाफ उपयोगकर्ताओं को प्रमाणित करने के लिए सेवाएं।

  1. Create an Active Directory Infrastructure with Samba4 on Ubuntu

चरण 1: आरंभिक विन्यास

1। उबंटू को सक्रिय निर्देशिका में शामिल करने के लिए शुरू करने से पहले सुनिश्चित करें कि होस्टनाम ठीक से कॉन्फ़िगर किया गया है। मशीन का नाम सेट करने के लिए hostnamectl कमांड का उपयोग करें या मैन्युअल रूप से /etc/hostname फ़ाइल को संपादित करें।

$ sudo hostnamectl set-hostname your_machine_short_hostname
$ cat /etc/hostname
$ hostnamectl

2। अगले चरण पर, मशीन नेटवर्क इंटरफ़ेस सेटिंग्स को संपादित करें और सांबा एडी डोमेन नियंत्रक को इंगित करने के लिए उचित स्क्रीनशॉट और सही DNS आईपी सर्वर पते जोड़ें, जैसा कि नीचे स्क्रीनशॉट में सचित्र है।

यदि आपने उचित AD DNS IP पतों के साथ अपने LAN मशीनों के लिए स्वचालित रूप से IP सेटिंग्स असाइन करने के लिए अपने परिसर में एक DHCP सर्वर कॉन्फ़िगर किया है तो आप इस चरण को छोड़ सकते हैं और आगे बढ़ सकते हैं।

उपरोक्त स्क्रीनशॉट पर, 192.168.1.254 और 192.168.1.253 Samba4 डोमेन नियंत्रक के आईपी पते का प्रतिनिधित्व करता है।

3। GUI या कमांड लाइन का उपयोग करके परिवर्तनों को लागू करने के लिए नेटवर्क सेवाओं को पुनरारंभ करें और DNS रिज़ॉल्यूशन का परीक्षण करने के लिए अपने डोमेन नाम के खिलाफ पिंग कमांड की एक श्रृंखला जारी करें। उम्मीद के मुताबिक काम करना। इसके अलावा, DNS रिज़ॉल्यूशन का परीक्षण करने के लिए होस्ट कमांड का उपयोग करें।

$ sudo systemctl restart networking.service
$ host your_domain.tld
$ ping -c2 your_domain_name
$ ping -c2 adc1
$ ping -c2 adc2

4। अंत में, सुनिश्चित करें कि मशीन का समय Samba4 AD के साथ सिंक में है। ntpdate पैकेज स्थापित करें और नीचे दिए गए आदेश जारी करके AD के साथ समय सिंक करें।

$ sudo apt-get install ntpdate
$ sudo ntpdate your_domain_name

चरण 2: आवश्यक संकुल स्थापित करें

5। इस कदम पर Ubuntu और Samba4 AD DC में शामिल होने के लिए आवश्यक सॉफ़्टवेयर और आवश्यक निर्भरताएं स्थापित करें: Realmd और SSSD सेवाएं।

$ sudo apt install adcli realmd krb5-user samba-common-bin samba-libs samba-dsdb-modules sssd sssd-tools libnss-sss libpam-sss packagekit policykit-1 

6। स्थापना को जारी रखने के लिए अपरकेस के साथ डिफ़ॉल्ट क्षेत्र का नाम दर्ज करें और दर्ज करें कुंजी दबाएं।

7। इसके बाद, निम्न सामग्री के साथ SSSD कॉन्फ़िगरेशन फ़ाइल बनाएं।

$ sudo nano /etc/sssd/sssd.conf

निम्न पंक्तियों को sssd.conf फ़ाइल में जोड़ें।

[nss]
filter_groups = root
filter_users = root
reconnection_retries = 3

[pam]
reconnection_retries = 3

[sssd]
domains = tecmint.lan
config_file_version = 2
services = nss, pam
default_domain_suffix = TECMINT.LAN


[domain/tecmint.lan]
ad_domain = tecmint.lan
krb5_realm = TECMINT.LAN
realmd_tags = manages-system joined-with-samba
cache_credentials = True
id_provider = ad
krb5_store_password_if_offline = True
default_shell = /bin/bash
ldap_id_mapping = True
use_fully_qualified_names = True
fallback_homedir = /home/%d/%u
access_provider = ad

auth_provider = ad
chpass_provider = ad
access_provider = ad
ldap_schema = ad
dyndns_update = true
dyndns_refresh_interval = 43200
dyndns_update_ptr = true
dyndns_ttl = 3600

सुनिश्चित करें कि आप तदनुसार निम्नलिखित मापदंडों में डोमेन नाम को प्रतिस्थापित करते हैं:

domains = tecmint.lan
default_domain_suffix = TECMINT.LAN
[domain/tecmint.lan]
ad_domain = tecmint.lan
krb5_realm = TECMINT.LAN

8। अगला, नीचे दिए गए आदेश को जारी करके SSSD फ़ाइल के लिए उचित अनुमतियाँ जोड़ें:

$ sudo chmod 700 /etc/sssd/sssd.conf

9। अब, खोलें और संपादित करें Realmd कॉन्फ़िगरेशन फ़ाइल और निम्न पंक्तियाँ जोड़ें।

$ sudo nano /etc/realmd.conf

Realmd.conf फ़ाइल अंश:

[active-directory]
os-name = Linux Ubuntu
os-version = 17.04

[service]
automatic-install = yes

 [users]
default-home = /home/%d/%u
default-shell = /bin/bash

[tecmint.lan]
user-principal = yes
fully-qualified-names = no

10। आपको जिस अंतिम फ़ाइल को संशोधित करना है, वह सांबा डेमॉन की है। संपादन के लिए /etc/samba/smb.conf फ़ाइल खोलें और [वैश्विक] अनुभाग के बाद फ़ाइल की शुरुआत में कोड के निम्नलिखित ब्लॉक को जोड़ें, जैसा कि सचित्र पर दिखाया गया है। नीचे चित्र।

 workgroup = TECMINT
   client signing = yes
   client use spnego = yes
   kerberos method = secrets and keytab
   realm = TECMINT.LAN
   security = ads

सुनिश्चित करें कि आप अपने डोमेन नाम से मेल खाने के लिए डोमेन नाम मान, विशेष रूप से क्षेत्र मान बदलें और कॉन्फ़िगरेशन की जांच करने के लिए testparm कमांड चलाएं। फ़ाइल में कोई त्रुटि नहीं है।

$ sudo testparm

11। आपके द्वारा सभी आवश्यक परिवर्तन किए जाने के बाद, AD व्यवस्थापकीय खाते का उपयोग करके Kerberos प्रमाणीकरण का परीक्षण करें और नीचे दिए गए आदेश जारी करके टिकट को सूचीबद्ध करें।

$ sudo kinit [email protected]
$ sudo klist

चरण 3: Samba4 दायरे में उबंटू से जुड़ें

12। उबंटू मशीन में शामिल होने के लिए Samba4 सक्रिय निर्देशिका समस्या में निम्नानुसार आदेशों की श्रृंखला निम्नलिखित है। बाइंडिंग क्षेत्र को अपेक्षित रूप से कार्य करने के लिए और उसके अनुसार डोमेन नाम मान को बदलने के लिए व्यवस्थापक विशेषाधिकारों के साथ एक एडी डीसी खाते के नाम का उपयोग करें।

$ sudo realm discover -v DOMAIN.TLD
$ sudo realm list
$ sudo realm join TECMINT.LAN -U ad_admin_user -v
$ sudo net ads join -k

13। डोमेन बाइंडिंग होने के बाद, यह सुनिश्चित करने के लिए कि सभी डोमेन खातों को मशीन पर प्रमाणित करने की अनुमति है नीचे कमांड चलाएँ।

$ sudo realm permit --all

इसके बाद, आप नीचे दिए गए उदाहरणों के अनुसार डोमेन उपयोगकर्ता खाते या दायरे कमांड का उपयोग करने की अनुमति दे सकते हैं।

$ sudo realm deny -a
$ realm permit --groups ‘domain.tld\Linux Admins’
$ realm permit [email protected]
$ realm permit DOMAIN\User2

14। आरएसएटी उपकरणों के साथ एक विंडोज मशीन से आप स्थापित कर सकते हैं विज्ञापन यूसी और कंप्यूटर कंटेनर पर जाएं और नाम के साथ एक वस्तु खाते की जांच करें आपकी मशीन बनाई गई है।

चरण 4: विज्ञापन खातों के प्रमाणीकरण को कॉन्फ़िगर करें

15। उबंटू मशीन पर डोमेन खातों के साथ प्रमाणित करने के लिए, आपको चलाने की आवश्यकता है pam-Cort-update रूट विशेषाधिकारों के साथ कमांड और स्वचालित रूप से बनाने के लिए विकल्प सहित सभी PAM प्रोफाइल को सक्षम करें पहले लॉगिन पर प्रत्येक डोमेन खाते के लिए होम निर्देशिका।

कॉन्फ़िगरेशन को लागू करने के लिए [स्थान] कुंजी दबाकर और ठीक दबाकर सभी प्रविष्टियों की जांच करें।

$ sudo pam-auth-update

16। सिस्टम पर मैन्युअल रूप से संपादित करें /etc/pam.d/common-account फ़ाइल और निम्न पंक्ति स्वचालित रूप से प्रमाणीकृत डोमेन उपयोगकर्ताओं के लिए घर बनाने के लिए।

session    required    pam_mkhomedir.so    skel=/etc/skel/    umask=0022

17। यदि सक्रिय निर्देशिका उपयोगकर्ता लिनक्स में कमांड लाइन से अपना पासवर्ड नहीं बदल सकते हैं, तो /etc/pam.d/common-password फ़ाइल खोलें और निकालें अंत में नीचे दिए गए अंश को देखने के लिए पासवर्ड लाइन से use_authtok स्टेटमेंट।

password       [success=1 default=ignore]      pam_winbind.so try_first_pass

18। अंत में, नीचे दिए गए जारी करके परिवर्तन लागू करने के लिए Realmd और SSSD सेवा को पुनः आरंभ और सक्षम करें:

$ sudo systemctl restart realmd sssd
$ sudo systemctl enable realmd sssd

19। यदि परीक्षण करने के लिए उबंटू मशीन सफलतापूर्वक स्थापित रन विंडबाइंड पैकेज के साथ एकीकृत हुई और डोमेन नाम और समूहों को नीचे सूचीबद्ध के रूप में सूचीबद्ध करने के लिए wbinfo कमांड चलाएं।

$ sudo apt-get install winbind
$ wbinfo -u
$ wbinfo -g

20। इसके अलावा, एक विशिष्ट डोमेन उपयोगकर्ता या समूह के खिलाफ getent आदेश जारी करके Winbind nsswitch मॉड्यूल की जांच करें।

$ sudo getent passwd your_domain_user
$ sudo getent group ‘domain admins’

21। आप किसी AD खाते के बारे में जानकारी प्राप्त करने के लिए लिनक्स का उपयोग कर सकते हैं id कमांड के रूप में नीचे दिए गए आदेश पर चित्रित किया गया है।

$ id tecmint_user

22। Samba4 AD खाते के साथ Ubuntu होस्ट पर प्रमाणित करने के लिए su - कमांड के बाद डोमेन यूजरनेम पैरामीटर का उपयोग करें। AD खाते के बारे में अतिरिक्त जानकारी प्राप्त करने के लिए id कमांड चलाएँ।

$ su - your_ad_user

यदि आप पासवर्ड बदलना चाहते हैं, तो अपने डोमेन उपयोगकर्ता वर्तमान वर्किंग डायरेक्टरी और पासवार्ड कमांड को देखने के लिए pwd कमांड का उपयोग करें।

23। अपने Ubuntu मशीन पर रूट विशेषाधिकारों के साथ एक डोमेन खाते का उपयोग करने के लिए, आपको नीचे दिए गए आदेश को जारी करके sudo सिस्टम समूह में AD उपयोगकर्ता नाम जोड़ना होगा:

$ sudo usermod -aG sudo [email protected]

डोमेन खाते के साथ उबंटू में लॉगिन करें और रूट विशेषाधिकारों की जांच के लिए उपयुक्त अपडेट कमांड चलाकर अपने सिस्टम को अपडेट करें।

24। डोमेन समूह के लिए रूट विशेषाधिकारों को जोड़ने के लिए, /etc/sudoers फ़ाइल को खोलें visudo कमांड का उपयोग करके कमांड और निम्नलिखित लाइन को सचित्र के रूप में जोड़ें ।

%domain\ [email protected]       		 ALL=(ALL:ALL) ALL

25। उबंटू डेस्कटॉप के लिए डोमेन खाता प्रमाणीकरण का उपयोग करने के लिए LightDM प्रदर्शन प्रबंधक को संपादित करके /usr/share/lightdm/lightdm.conf.d/50-ubuntu। conf फ़ाइल, निम्न दो पंक्तियों को जोड़ें और lightdm सेवा को पुनरारंभ करें या मशीन लागू परिवर्तनों को रिबूट करें।

greeter-show-manual-login=true
greeter-hide-users=true

उबंटू डेस्कटॉप में एक डोमेन अकाउंट के साथ your_domain_username या [ईमेल प्रोटेक्टेड] _domain.tld सिंटैक्स का उपयोग करके लॉग इन करें।

26। सांबा विज्ञापन खातों के लिए संक्षिप्त नाम प्रारूप का उपयोग करने के लिए, /etc/sssd/sssd.conf फ़ाइल संपादित करें, [sssd में निम्न पंक्ति जोड़ें नीचे के रूप में मजबूत> ब्लॉक।

full_name_format = %1$s

और परिवर्तनों को लागू करने के लिए SSSD डेमॉन को पुनः आरंभ करें।

$ sudo systemctl restart sssd

आप ध्यान देंगे कि ईवेंट उपयोगकर्ता के संक्षिप्त नाम को डोमेन नाम प्रतिपक्ष को जोड़े बिना bash प्रॉम्प्ट बदल जाएगा।

27। यदि आप enumerate = true तर्क के कारण sssd.conf में सेट नहीं हो सकते हैं, तो आपको नीचे दिए गए आदेश को जारी करके sssd कैश्ड डेटाबेस को साफ़ करना होगा। :

$ rm /var/lib/sss/db/cache_tecmint.lan.ldb

बस इतना ही! यद्यपि यह मार्गदर्शिका मुख्य रूप से Samba4 सक्रिय निर्देशिका के साथ एकीकरण पर केंद्रित है, उबंटू को Realmd और SSSD सेवाओं के साथ Microsoft Windows सर्वर सक्रिय निर्देशिका में एकीकृत करने के लिए समान चरणों को लागू किया जा सकता है।

सर्वाधिकार सुरक्षित। © Linux-Console.net • 2019-2020