Как да

Присъединете се към Ubuntu 20.04 | 18.04 / Debian 10 към домейн на Active Directory (AD)

Присъединете се към Ubuntu 20.04 | 18.04 / Debian 10 към домейн на Active Directory (AD)

Въпрос: Как мога да се присъединя към Ubuntu 20.04 | 18.04 до Windows домейн?, мога ли да се присъединя към Debian 10 към домейн на Active Directory?. Тази статия е написана, за да ви покаже как да използвате царство да се присъедините към Ubuntu 20.04 | 18.04 / Debian 10 сървър или работен плот към домейн на Active Directory. Домените на Active Directory са централният център за потребителска информация в повечето корпоративни среди.

Например в инфраструктурата на моята компания е ключово изискване всички потребители да бъдат удостоверени във всички Linux системи с идентификационните данни на Active Directory. Това трябва да работи както за Linux дистрибуции, базирани на Debian, така и за Red Hat. По-рано бях написал ръководство за RHEL / CentOS, проверете го от връзката по-долу.

Как да се присъедините към системата CentOS 8 / RHEL 8 System към Active Directory (AD) домейн

Това ръководство ще илюстрира как да конфигурирате SSSD за извличане на информация от домейни в същата гора на ресурсите на Active Directory. ако работите с повече от една AD гора, това ръководство може да не работи за вас. Също така ще отидем по-нататък и ще конфигурираме sudo правила за потребителите, които влизат в системата чрез AD. Ето схема, изобразяваща настройката и как работи настройката.

Затова следвайте стъпките по-долу, за да се присъедините към Ubuntu 20.04 | 18.04 / Debian 10 към домейн на Active Directory (AD).

Стъпка 1: Актуализирайте вашия APT индекс

Започнете с актуализиране на вашата Ubuntu / Debian Linux система.

sudo apt -y актуализация

Това е от съществено значение, тъй като инсталациите могат да се провалят, ако сървърът е прясно инсталиран.

За Ubuntu 20.04 | 18.04, добавете следните хранилища към вашия източници.списък файл.

sudo tee -a / etc / apt / sources.списък <

Стъпка 2: Задайте име на хост на сървър и DNS

Задайте правилно име на хост за вашия сървър с правилен компонент на домейна.

sudo hostnamectl set-hostname myubuntu.пример.com

Потвърдете името на хоста си:

$ hostnamectl Статично име на хост: myubuntu.пример.com Име на икона: computer-vm Шаси: vm Идентификатор на машината: 5beb7ac3260c4f00bcfbe1088f48b8c7 Идент. № на стартиране: b2a0d9abe43b455fb49484dbaa59dc41 Виртуализация: vmware Операционна система: Ubuntu 18.04.1 LTS ядро: Linux 4.15.0-29-родова архитектура: x86-64 

Потвърдете DNS ia конфигуриран правилно:

$ cat / etc / resolv.конф

Ubuntu 20.04 |18.04 идва с systemd-разрешение които трябва да деактивирате, за да може сървърът да осъществява директен достъп до вашия мрежов DNS.

sudo systemctl забрани systemd-разрешен sudo systemctl спиране systemd-разрешен

Ако сте на DHCP, можете да актуализирате DNS сървъра ръчно.

$ sudo unlink / etc / resolv.conf $ sudo vim / etc / resolv.конф

Стъпка 3: Инсталирайте необходимите пакети

За присъединяването към Ubuntu 20 са необходими редица пакети.04 | 18.04 / Debian 10 система към домейн на Active Directory (AD).

sudo apt актуализация sudo apt -y инсталирайте realmd libnss-sss libpam-sss sssd sssd-инструменти adcli samba-common-bin oddjob oddjob-mkhomedir packagekit

Само след успешна инсталация на зависимости можете да продължите да откривате домейна на Active Directory на Debian 10 / Ubuntu 20.18.04.04.

Стъпка 4: Открийте домейна на Active Directory на Debian 10 / Ubuntu 20.04 | 18.04

The открийте царството команда връща пълна конфигурация на домейн и списък с пакети, които трябва да бъдат инсталирани, за да може системата да бъде регистрирана в домейна.

$ sudo realm открийте пример.com пример.com тип: kerberos име на царство: ПРИМЕР.COM име на домейн: пример.com конфигуриран: няма сървърен софтуер: клиентски софтуер за активна директория: sssd задължително-пакет: sssd-инструменти задължително-пакет: sssd задължително-пакет: libnss-sss задължително-пакет: libpam-sss задължително-пакет: adcli задължително-пакет : samba-common-bin

Сменете пример.com с вашия валиден AD домейн.

Стъпка 5: Присъединете се към Ubuntu 20.04 | 18.04 / Debian 10 към домейн на Active Directory (AD)

За интегриране на вашата Linux машина с домейн на Windows Active Directory е необходим AD административен потребителски акаунт. Проверете и потвърдете администраторския акаунт на AD и паролата.

The присъединете се към царството команда ще настрои локалната машина за използване с определен домейн, като конфигурира както локалните системни услуги, така и записите в домейна за идентичност. Командата има редица опции, които могат да бъдат проверени с:

$ realm join --help

Основното изпълнение на командата е:

$ sudo realm join -Пример на администратор.com Парола за администратор:

Където:

Командата първо се опитва да се свърже без идентификационни данни, но при необходимост изисква парола.

Вижте текущите подробности за царството.

Пример за списък с $ realm.com тип: kerberos име на царство: ПРИМЕР.COM име на домейн: пример.com конфигуриран: kerberos-член сървърен софтуер: клиентски софтуер на активна директория: sssd задължително-пакет: sssd-инструменти задължително-пакет: sssd задължително-пакет: libnss-sss задължително-пакет: libpam-sss задължително-пакет: adcli задължително -пакет: samba-common-bin вход-формати:% [имейл защитен] политика за влизане: allow-realm-logins 

В базирани на RHEL системи домашната директория на потребителя ще бъде създадена автоматично. В Ubuntu / Debian трябва да активирате тази функция.

sudo bash -c "cat> / usr / share / pam-configs / mkhomedir" <

След това активирайте с:

sudo pam-auth-update

Изберете 

Осигурете  „Активиране на mkhomedir“ е избрано, трябва да има [*]

След това изберете  за да запазите промените.

Вашият sssd.конф конфигурационният файл се намира на / и т.н. / sssd / sssd.конф. Винаги, когато има промяна във файла, се изисква рестартиране.

sudo systemctl рестартирайте sssd

Състоянието трябва да работи.

$ systemctl статус sssd

Ако интеграцията работи, трябва да е възможно да получите информация за потребител на AD.

$ id jmutai uid = 1783929917 ([имейл защитен]) gid = 1784800513 (домейн [имейл защитен]) групи = 1783870513 (домейн [имейл защитен])

Стъпка 6: Контролирайте достъпа - ограничете до потребител / група

Достъпът до регистрирания сървър може да бъде ограничен, като се позволяват само определени потребители / и групи.

Ограничете до потребители

За да разрешите достъп на потребител чрез SSH и конзола, използвайте командата:

$ sudo царство разрешение [имейл защитен] $ sudo царство разрешение [имейл защитен] [имейл защитен]

Разрешаване на достъп до група - Примери

$ sudo ream разрешение -g sysadmins $ sudo realm разрешение -g 'Потребители на сигурността' $ sudo realm дозволение 'Потребители на домейн "администраторски потребители"

Това ще се промени sssd.конф файл.

Ако вместо това искате да разрешите достъп на всички потребители, изпълнете:

$ sudo царство разрешение - всички

За да откажете достъп на всички потребители на домейн, използвайте:

$ sudo realm deny --all

Стъпка 7: Конфигурирайте Sudo Access

По подразбиране потребителите на домейн няма да имат разрешение да ескалират привилегията до root. Потребителите трябва да получат достъп въз основа на потребителски имена или групи.

Нека първо създадем файл за разрешения на sudo.

$ sudo vi / etc / sudoers.г / администратори на домейн

Добавяне на един потребител:

[имейл защитен] ALL = (ALL) ALL

Добавете друг потребител:

[имейл защитен] ALL = (ALL) ALL [имейл защитен] ALL = (ALL) ALL

Добавяне на група

% [имейл защитен] ALL = (ALL) ALL

Добавете група с две или три имена.

% сигурност \ [имейл защитен] ALL = (ALL) ALL% system \ super \ [имейл защитен] ALL = (ALL) ALL

Стъпка 8: Тествайте SSH достъп

Достъп до сървъра от разстояние, тъй като потребителят на AD има право да влиза.

$ ssh [имейл защитен] Автентичността на хоста 'localhost (:: 1)' не може да бъде установена. Отпечатъкът на ECDSA ключ е SHA256: wmWcLi / lijm4zWbQ / Uf6uLMYzM7g1AnBwxzooqpB5CU. Отпечатъкът на ECDSA ключ е MD5: 10: 0c: cb: 22: fd: 28: 34: c6: 3e: d7: 68: 15: 02: f9: b4: e9. Наистина ли искате да продължите да се свързвате (да / не)? да Внимание: Постоянно добавен „localhost“ (ECDSA) към списъка с известни хостове.

Това е потвърждение, че нашата конфигурация е била успешна. Посетете realmd и sssd wiki страници, за да научите повече.

Етикети:

Свързани ръководства:

Задайте черупка по подразбиране за вход на SSSD за доверителни потребители на AD, използвайки FreeIPA

Конфигурирайте FreeIPA клиент на Ubuntu / CentOS 7

Как да инсталирате и конфигурирате OpenLDAP сървър на Debian 10 (Buster)

Как да инсталирате и конфигурирате OpenLDAP сървър на Ubuntu LTS

Инсталирайте KDE Plasma Desktop на Ubuntu 20.04
Добре дошли в днешната статия за инсталирането на KDE Plasma Desktop среда на Ubuntu 20.04 Linux машина. Plasma Desktop е популярна и мощна работна ср...
Как да инсталирам Ceph Storage Cluster на Ubuntu 18.04 LTS
В това ръководство ще разгледаме инсталирането и конфигурирането на напълно функционален клъстер за съхранение на Ceph в Ubuntu 18.04 LTS сървър. Ceph...
Как да инсталирам Wireshark на Ubuntu 20.04 | 18.04 | 16.04 Работен плот
Wireshark е безплатен инструмент за мрежов анализ с отворен код и анализатор на пакети. С Wireshark можете да улавяте мрежовия трафик в реално време и...

Уебсайт, посветен на джаджи, операционни системи и съвременни технологии. Много интересни статии и полезни съвети