开发笔记:Samba系列（十五）：用SSSD和Realm集成Ubuntu到Samba4ADDC

篇首语：本文由编程笔记#小编为大家整理，主要介绍了Samba 系列（十五）：用 SSSD 和 Realm 集成 Ubuntu 到 Samba4 AD DC相关的知识，希望对你有一定的参考价值。

本教程将告诉你如何将 Ubuntu 桌面版机器加入到带有 SSSD 和 Realm 服务的 Samba4 活动目录域中，以在活动目录中认证用户。

要求：

第 1 步：初始配置

1、 在把 Ubuntu 加入活动目录前确保主机名被正确设置了。使用 hostnamectl 命令设置机器名字或者手动编辑 /etc/hostname 文件。

1. $ sudo hostnamectl set-hostname your_machine_short_hostname







2. $ cat /etc/hostname







3. $ hostnamectl

设置网络接口

3、 用 GUI（图形用户界面）或命令行重启网络服务来应用修改，并且对你的域名发起一系列 ping 请求来测试 DNS 解析如预期工作。 也用 host 命令来测试 DNS 解析。

1. $ sudo systemctl restart networking.service







2. $ host your_domain.tld







3. $ ping -c2 your_domain_name







4. $ ping -c2 adc1







5. $ ping -c2 adc2

4、 最后, 确保机器时间和 Samba4 AD 同步。安装 ntpdate 包并用下列指令和 AD 同步时间。

1. $ sudo apt-get install ntpdate







2. $ sudo ntpdate your_domain_name

第 2 步：安装需要的包

5、 这一步将安装将 Ubuntu 加入 Samba4 活动目录域控制器所必须的软件和依赖：Realmd 和 SSSD 服务。

1. $ sudo apt install adcli realmd krb5-user samba-common-bin samba-libs samba-dsdb-modules sssd sssd-tools libnss-sss libpam-sss packagekit policykit-1

6、 输入大写的默认 realm 名称，然后按下回车继续安装。

输入 Realm 名称

7、 接着，创建包含以下内容的 SSSD 配置文件。

1. $ sudo nano /etc/sssd/sssd.conf

加入下面的内容到 sssd.conf 文件。

1. [nss]







2. filter_groups = root







3. filter_users = root







4. reconnection_retries = 3







5. [pam]







6. reconnection_retries = 3







7. [sssd]







8. domains = tecmint.lan







9. config_file_version = 2







10. services = nss, pam







11. default_domain_suffix = TECMINT.LAN







12. [domain/tecmint.lan]







13. ad_domain = tecmint.lan







14. krb5_realm = TECMINT.LAN







15. realmd_tags = manages-system joined-with-samba







16. cache_credentials = True







17. id_provider = ad







18. krb5_store_password_if_offline = True







19. default_shell = /bin/bash







20. ldap_id_mapping = True







21. use_fully_qualified_names = True







22. fallback_homedir = /home/%d/%u







23. access_provider = ad







24. auth_provider = ad







25. chpass_provider = ad







26. access_provider = ad







27. ldap_schema = ad







28. dyndns_update = true







29. dyndsn_refresh_interval = 43200







30. dyndns_update_ptr = true







31. dyndns_ttl = 3600

确保你对应地替换了下列参数的域名：

1. domains = tecmint.lan







2. default_domain_suffix = TECMINT.LAN







3. [domain/tecmint.lan]







4. ad_domain = tecmint.lan







5. krb5_realm = TECMINT.LAN

8、 接着，用下列命令给 SSSD 配置文件适当的权限：

1. $ sudo chmod 700 /etc/sssd/sssd.conf

9、 现在，打开并编辑 Realmd 配置文件，输入下面这行：

1. $ sudo nano /etc/realmd.conf

realmd.conf 文件摘录：

1. [active-directory]







2. os-name = Linux Ubuntu







3. os-version = 17.04







4. [service]







5. automatic-install = yes







6. [users]







7. default-home = /home/%d/%u







8. default-shell = /bin/bash







9. [tecmint.lan]







10. user-principal = yes







11. fully-qualified-names = no

10、 最后需要修改的文件属于 Samba 守护进程。 打开 /etc/samba/smb.conf 文件编辑，然后在文件开头加入下面这块代码，在 [global] 之后的部分如下图所示。

1. workgroup = TECMINT







2. client signing = yes







3. client use spnego = yes







4. kerberos method = secrets and keytab







5. realm = TECMINT.LAN







6. security = ads

配置 Samba 服务器

确保你替换了域名值，特别是对应域名的 realm 值，并运行 testparm 命令检验设置文件是否包含错误。

1. $ sudo testparm

测试 Samba 配置

11、 在做完所有必需的修改之后，用 AD 管理员帐号验证 Kerberos 认证并用下面的命令列出票据。

1. $ sudo kinit ad_admin_user@DOMAIN.TLD







2. $ sudo klist

检验 Kerberos 认证

第 3 步： 加入 Ubuntu 到 Samba4 Realm

12、 键入下列命令将 Ubuntu 机器加入到 Samba4 活动目录。用有管理员权限的 AD DC 账户名字，以便绑定 realm 可以如预期般工作，并替换对应的域名值。

1. $ sudo realm discover -v DOMAIN.TLD







2. $ sudo realm list







3. $ sudo realm join TECMINT.LAN -U ad_admin_user -v







4. $ sudo net ads join -k

加入 Ubuntu 到 Samba4 Realm

列出 Realm Domain 信息

添加用户到 Realm Domain

添加 Domain 到 Realm

13、 区域绑定好了之后，运行下面的命令确保所有域账户允许在这台机器上认证。

1. $ sudo realm permit -all

然后你可以使用下面举例的 realm 命令允许或者禁止域用户帐号或群组访问。

1. $ sudo realm deny -a







2. $ realm permit --groups ‘domain.tld\Linux Admins’







3. $ realm permit user@domain.lan







4. $ realm permit DOMAIN\\User2

14、 从一个 [2] Windows 机器上你可以打开 AD UC 并浏览“电脑computers”容器，并检验是否有一个使用你机器名的对象帐号已经创建。

确保域被加入 AD DC

第 4 步：配置 AD 账户认证

15、 为了在 Ubuntu 机器上用域账户认证，你需要用 root 权限运行 pam-auth-update 命令并允许所有 PAM 配置文件，包括为每个域账户在第一次注册的时候自动创建家目录的选项。

按 [空格] 键检验所有配置项并点击 ok 来应用配置。

1. $ sudo pam-auth-update

PAM 配置

16、 在系统上手动编辑 /etc/pam.d/common-account 文件，下面这几行是为了给认证过的域用户自动创建家目录。

1. session    required    pam_mkhomedir.so    skel=/etc/skel/    umask=0022

17、 如果活动目录用户不能用 linux 命令行修改他们的密码，打开 /etc/pam.d/common-password 文件并在 password 行移除 use_authtok 语句，最后如下：

1. password       [success=1 default=ignore]      pam_winbind.so try_first_pass

18、 最后，用下面的命令重启并启用以应用 Realmd 和 SSSD 服务的修改：

1. $ sudo systemctl restart realmd sssd







2. $ sudo systemctl enable realmd sssd

19、 为了测试 Ubuntu 机器是是否成功集成到 realm ，安装 winbind 包并运行 wbinfo 命令列出域账户和群组，如下所示。

1. $ sudo apt-get install winbind







2. $ wbinfo -u







3. $ wbinfo -g

列出域账户

20、 同样，也可以针对特定的域用户或群组使用 getent 命令检验 Winbind nsswitch 模块。

1. $ sudo getent passwd your_domain_user







2. $ sudo getent group ‘domain admins’

检验 Winbind Nsswitch

21、 你也可以用 Linux id 命令获取 AD 账户的信息，命令如下：

1. $ id tecmint_user

检验 AD 用户信息

22、 用 su - 后跟上域用户名参数来认证 Ubuntu 主机的一个 Samba4 AD 账户。运行 id 命令获取该 AD 账户的更多信息。

1. $ su - your_ad_user

AD 用户认证

用 pwd 命令查看你的域用户当前工作目录，和用 passwd 命令修改密码。

23、 在 Ubuntu 上使用有 root 权限的域账户，你需要用下面的命令添加 AD 用户名到 sudo 系统群组：

1. $ sudo usermod -aG sudo your_domain_user@domain.tld

用域账户登录 Ubuntu 并运行 apt update 命令来更新你的系统以检验 root 权限。

24、 给一个域群组 root 权限，用 visudo 命令打开并编辑 /etc/sudoers 文件，并加入如下行：

1. %domain\ admins@tecmint.lan              ALL=(ALL:ALL) ALL

25、 要在 Ubuntu 桌面使用域账户认证，通过编辑 /usr/share/lightdm/lightdm.conf.d/50-ubuntu.conf 文件来修改 LightDM 显示管理器，增加以下两行并重启 lightdm 服务或重启机器应用修改。

1. greeter-show-manual-login=true







2. greeter-hide-users=true

域账户用“你的域用户”或“你的域用户@你的域” 格式来登录 Ubuntu 桌面。

26、 为使用 Samba AD 账户的简称格式，编辑 /etc/sssd/sssd.conf 文件，在 [sssd] 块加入如下几行命令。

1. full_name_format = %1$s

并重启 SSSD 守护进程应用改变。

1. $ sudo systemctl restart sssd

你会注意到 bash 提示符会变成了没有附加域名部分的 AD 用户名。

27、 万一你因为 sssd.conf 里的 enumerate=true 参数设定而不能登录，你得用下面的命令清空 sssd 缓存数据：

1. $ rm /var/lib/sss/db/cache_tecmint.lan.ldb

这就是全部了！虽然这个教程主要集中于集成 Samba4 活动目录，同样的步骤也能被用于把使用 Realm 和 SSSD 服务的 Ubuntu 整合到微软 Windows 服务器活动目录。

作者简介：

Matei Cezar - 我是一名网瘾少年，开源和基于 linux 系统软件的粉丝，有4年经验在 linux 发行版桌面、服务器和 bash 脚本。

via: https://www.tecmint.com/integrate-ubuntu-to-samba4-ad-dc-with-sssd-and-realm/

本文由 LCTT 原创编译，Linux中国 荣誉推出

LCTT 译者

XYenChi

共计翻译：
6 篇

贡献时间：144 天