Ricerca nel sito web

Integra CentOS 7 in Samba4 AD dalla riga di comando - Parte 14

Questa guida ti mostrerà come integrare un server CentOS 7 senza interfaccia utente grafica al controller di dominio Active Directory Samba4 dalla riga di comando utilizzando il software Authconfig.

Questo tipo di configurazione fornisce un unico database di account centralizzato gestito da Samba e consente agli utenti AD di autenticarsi sul server CentOS attraverso l'infrastruttura di rete.

Requisiti

  1. Crea un'infrastruttura Active Directory con Samba4 su Ubuntu
  2. Guida all'installazione di CentOS 7.3

Passaggio 1: configurare CentOS per Samba4 AD DC

1. Prima di iniziare a unire il server CentOS 7 in un Samba4 DC è necessario assicurarsi che l'interfaccia di rete sia configurata correttamente per interrogare il dominio tramite DNS servizio.

Esegui il comando indirizzo ip per elencare le interfacce di rete della tua macchina e scegli la scheda NIC specifica da modificare immettendo il comando nmtui-edit sul nome dell'interfaccia, come ens33 in questo esempio, come illustrato di seguito.

ip address
nmtui-edit ens33

2. Una volta aperta l'interfaccia di rete per la modifica, aggiungi le configurazioni IPv4 statiche più adatte alla tua LAN e assicurati di impostare gli indirizzi IP dei controller di dominio Samba AD per i server DNS.

Inoltre, aggiungi il nome del tuo dominio nei domini di ricerca archiviati e vai al pulsante OK utilizzando il tasto [TAB] per applicare le modifiche.

La ricerca dei domini archiviati garantisce che la controparte del dominio venga automaticamente aggiunta dalla risoluzione DNS (FQDN) quando si utilizza solo un nome breve per un record DNS di dominio.

3. Infine, riavvia il demone di rete per applicare le modifiche e verifica se la risoluzione DNS è configurata correttamente emettendo una serie di comandi ping sul nome di dominio e sui nomi brevi dei controller di dominio come mostrato sotto.

systemctl restart network.service
ping -c2 tecmint.lan
ping -c2 adc1
ping -c2 adc2

4. Inoltre, configura il nome host del tuo computer e riavvia il computer per applicare correttamente le impostazioni emettendo i seguenti comandi.

hostnamectl set-hostname your_hostname
init 6

Verifica se il nome host è stato applicato correttamente con i comandi seguenti.

cat /etc/hostname
hostname

5. Infine, sincronizza l'ora locale con Samba4 AD DC immettendo i comandi seguenti con privilegi di root.

yum install ntpdate
ntpdate domain.tld

Passaggio 2: unisciti al server CentOS 7 a Samba4 AD DC

6. Per unire il server CentOS 7 a Samba4 Active Directory, installa prima i seguenti pacchetti sul tuo computer da un account con privilegi di root.

yum install authconfig samba-winbind samba-client samba-winbind-clients

7. Per integrare il server CentOS 7 in un controller di dominio, eseguire l'utilità grafica authconfig-tui con privilegi di root e utilizzare le seguenti configurazioni come descritto di seguito.

authconfig-tui

Alla prima schermata di richiesta scegliere:

  • Nelle Informazioni utente:

    • Usa Winbind

  • Nella scheda Autenticazione seleziona premendo il tasto [Spazio]:

    • Utilizza Shadow Password
    • Utilizza l'autenticazione Winbind
    • È sufficiente l'autorizzazione locale

8. Hit Next per continuare alla schermata delle impostazioni di Winbind e configurare come illustrato di seguito:

  • Modello di sicurezza: annunci
  • Dominio = IL TUO_DOMINIO (utilizza lettere maiuscole)
  • Controller di dominio=FQDN delle macchine del dominio (separati da virgole se più di uno)
  • Reame ADS = TUO_DOMAIN.TLD
  • Modello Shell = /bin/bash

9. Per eseguire l'aggiunta al dominio, vai al pulsante Unisciti al dominio utilizzando il tasto [tab] e premi il tasto [Invio] per unirsi al dominio.

Alla schermata successiva, aggiungi le credenziali per un account Samba4 AD con privilegi elevati per eseguire l'accesso dell'account macchina ad AD e premi OK per applicare le impostazioni e chiudere la richiesta.

Tieni presente che quando digiti la password dell'utente, le credenziali non verranno visualizzate nella schermata della password. Nella schermata rimanente premi di nuovo OK per completare l'integrazione del dominio per la macchina CentOS 7.

Per forzare l'aggiunta di una macchina in una specifica unità organizzativa Samba AD, ottieni il nome esatto della tua macchina utilizzando il comando hostname e crea un nuovo oggetto Computer in quell'unità organizzativa con il nome della tua macchina.

Il modo migliore per aggiungere un nuovo oggetto in Samba4 AD è utilizzare lo strumento ADUC da una macchina Windows integrata nel dominio con gli strumenti RSAT installati su di essa.

Importante: un metodo alternativo per unirsi a un dominio è utilizzare la riga di comando authconfig che offre un ampio controllo sul processo di integrazione.

Tuttavia, questo metodo è soggetto a errori a causa dei suoi numerosi parametri, come illustrato nell'estratto del comando seguente. Il comando deve essere digitato in un'unica lunga riga.

authconfig --enablewinbind --enablewinbindauth --smbsecurity ads --smbworkgroup=YOUR_DOMAIN --smbrealm YOUR_DOMAIN.TLD --smbservers=adc1.yourdomain.tld --krb5realm=YOUR_DOMAIN.TLD --enablewinbindoffline --enablewinbindkrb5 --winbindtemplateshell=/bin/bash--winbindjoin=domain_admin_user --update  --enablelocauthorize   --savebackup=/backups

10. Dopo che la macchina è stata aggiunta al dominio, verifica se il servizio winbind è attivo e funzionante emettendo il comando seguente.

systemctl status winbind.service

11. Quindi, controlla se l'oggetto macchina CentOS è stato creato con successo in Samba4 AD. Utilizza lo strumento Utenti e computer AD da un computer Windows con gli strumenti RSAT installati e accedi al contenitore Computer del tuo dominio. Un nuovo oggetto account computer AD con il nome del tuo server CentOS 7 dovrebbe essere elencato nel piano destro.

12. Infine, modifica la configurazione aprendo il file di configurazione principale di samba (/etc/samba/smb.conf) con un editor di testo e aggiungi le righe seguenti alla fine di il blocco di configurazione [globale] come illustrato di seguito:

winbind use default domain = true
winbind offline logon = true

13. Per creare home locali sul computer per gli account AD al primo accesso, eseguire il comando seguente.

authconfig --enablemkhomedir --update

14. Infine, riavvia il demone Samba per riflettere le modifiche e verificare l'adesione al dominio eseguendo un accesso al server con un account AD. La directory home per l'account AD dovrebbe essere creata automaticamente.

systemctl restart winbind
su - domain_account

15. Elenca gli utenti o i gruppi di dominio immettendo uno dei seguenti comandi.

wbinfo -u
wbinfo -g

16. Per ottenere informazioni su un utente di dominio, esegui il comando seguente.

wbinfo -i domain_user

17. Per visualizzare le informazioni di riepilogo sul dominio, eseguire il seguente comando.

net ads info

Passaggio 3: accedi a CentOS con un account AD DC Samba4

18. Per autenticarsi con un utente di dominio in CentOS, utilizzare una delle seguenti sintassi della riga di comando.

su - ‘domain\domain_user’
su - domain\\domain_user

Oppure utilizzare la sintassi seguente nel caso in cui winbind utilizzi il parametro default domain=true sia impostato sul file di configurazione di samba.

su - domain_user
su - [email 

19. Per aggiungere i privilegi di root per un utente o gruppo di dominio, modifica il file sudoers utilizzando il comando visudo e aggiungi le seguenti righe come illustrato su lo screenshot qui sotto.

YOUR_DOMAIN\\domain_username       		 ALL=(ALL:ALL) ALL  	#For domain users
%YOUR_DOMAIN\\your_domain\  group       	 ALL=(ALL:ALL) ALL	#For domain groups

Oppure utilizzare l'estratto seguente nel caso in cui winbind utilizzi il dominio predefinito=true il parametro è impostato sul file di configurazione di samba.

domain_username 	        	 ALL=(ALL:ALL) ALL  	#For domain users
%your_domain\  group       		 ALL=(ALL:ALL) ALL	#For domain groups

20. Anche la seguente serie di comandi su un DC AD Samba4 può essere utile per la risoluzione dei problemi:

wbinfo -p #Ping domain
wbinfo -n domain_account #Get the SID of a domain account
wbinfo -t  #Check trust relationship

21. Per lasciare il dominio, esegui il seguente comando sul tuo nome di dominio utilizzando un account di dominio con privilegi elevati. Dopo che l'account della macchina è stato rimosso da AD, riavviare la macchina per annullare le modifiche apportate prima del processo di integrazione.

net ads leave -w DOMAIN -U domain_admin
init 6

È tutto! Sebbene questa procedura sia principalmente incentrata sull'unione di un server CentOS 7 a un DC DC Samba4, gli stessi passaggi qui descritti sono validi anche per l'integrazione di un server CentOS in un Active Directory di Microsoft Windows Server 2012.