Integrieren von a Linux Maschine hinein Windows Active Directory-Domänen
In diesem Artikel wird der Vorgang zum Hinzufügen eines beschrieben Linux Maschine (Ubuntu 20.04) in a Windows Active Directory-Domäne.
Schritt 1. Pakete installieren und vorbereiten.
Lassen Sie uns zuerst die Pakete aktualisieren.
sudo apt update
sudo apt upgradeAnschließend installieren Sie die erforderlichen Pakete.
sudo apt -y install realmd sssd sssd-tools libnss-sss libpam-sss adcli samba-common-bin oddjob oddjob-mkhomedir packagekitAls Nächstes konfigurieren wir alle diese Tools für die Arbeit mit der Domäne. Alles was wir wissen müssen ist:
- Domainname: office.local
- DNS Server-IP: 192.168.0.1
- Zweite DNS Server-IP: 192.168.0.2
Schritt 2. Konfigurieren DNS.
Schauen Sie in der Netplan-Konfigurationsdatei nach.
sudo nano /etc/netplan/*.yamlWenn dort „dhcp4: true“ angezeigt wird und Ihr DHCP-Server richtig konfiguriert ist, fahren Sie mit dem nächsten Schritt fort.
Wenn Sie die Netzwerkverbindung pa konfigurierenramUm die Eter manuell zu verwalten, finden Sie hier ein Beispiel für die Einrichtung statischer Adressen:
network:
ethernets:
enp0s3:
addresses:
- 192.168.0.15/24
gateway4: 192.168.0.10
nameservers:
addresses: [192.168.0.1, 192.168.0.2]
search:
- office.local
optional: true
version: 2- Adressen – diese IP-Adresse wird Ihrer Netzwerkkarte zugewiesen;
- Gateway4 – IP-Adresse Ihres Routers;
- Nameserver – DNS Server;
- Suche – Zieldomäne.
Änderungen übernehmen.
sudo netplan applySchritt 3. Entdecken Sie die Domain, treten Sie ihr bei und überprüfen Sie das Ergebnis.
Ermitteln Sie zunächst die Domäne.
realm discover office.localWir werden so etwas sehen. Das bedeutet, dass die Netzwerkeinstellungen korrekt sind und unser Rechner eine Antwort von der Domain erhalten hat. Wenn nicht, müssen Sie Ihre Netzwerkeinstellungen, Domäne usw. überprüfen DNS Gesundheit.
office.local
type: kerberos
realm-name: OFFICE.LOCAL
domain-name: office.local
configured: no
...Treten Sie als Nächstes der AD-Domäne bei. Ersetzen Sie „admin“ durch den Benutzernamen des Domänenadministrators und geben Sie bei Aufforderung das Passwort dafür ein.
realm join -U admin office.local
Password for admin:Überprüfen wir nun, ob wir Informationen über den AD-Benutzer erhalten können. Ersetzen Sie „Benutzer“ durch den Namen des Domänenbenutzerkontos.
id user@office.local
uid=687821651(user@office.local) gid=687800512(user@office.local) groups=687800512(domain users@office.local)Schritt 4. Letzte Einstellungen und Anmeldung.
Um zu vermeiden, dass der Domänenname jedes Mal zum Benutzernamen hinzugefügt wird, konfigurieren wir dies.
sudo nano /etc/sssd/sssd.confÄndern Sie den Wert „use_fully_qualified_names“ in „Falsch“. Starten Sie neu und prüfen Sie:
sudo systemctl restart sssd
id user
uid=687821651(user@office.local) gid=687800512(user@office.local) groups=687800512(domain users@office.local)Jetzt müssen wir die Erstellung von Home-Verzeichnissen für AD-Benutzer einrichten, wenn diese sich anmelden.
sudo nano /etc/pam.d/common-session
#add this line in the end of file
session optional pam_mkhomedir.so skel=/etc/skel umask=077Versuchen wir, uns als AD-Benutzer anzumelden.
su – user
Password:
Creating directory '/home/user@office.local'.
user@ubuntu-server:~$Dies bedeutet, dass Sie sich erfolgreich als AD-Benutzer angemeldet haben.
Darüber hinaus können Sie die Autorisierung für einige AD-Benutzer oder -Gruppen zulassen und für andere einschränken. Das folgende Beispiel ist so eingestellt, dass es alle ablehnt und Benutzer, Benutzer2 und die Gruppe „Domänenadministratoren“ zulässt.
sudo realm deny –all
sudo realm permit user@office.local user2@office.local
sudo realm permit -g 'Domain Admins'Das Konfigurieren von AD-Benutzern für den Erhalt von Root-Rechten erfolgt auf die gleiche Weise wie für lokale Benutzer, jedoch in einer anderen Datei.
sudo nano /etc/sudoers.d/adminsFügen Sie die erforderlichen Zeilen hinzu. Zum Beispiel:
user ALL=(ALL) ALL
%Domain\ Admins ALL=(ALL) ALL
700
300
700
300
700
300
700
300
