Integrasikan Ubuntu 16.04 ke AD sebagai Anggota Domain dengan Samba dan Winbind - Bagian 8

Tutorial ini menjelaskan cara menggabungkan mesin Ubuntu ke dalam domain Samba4 Active Directory untuk mengautentikasi akun AD dengan ACL lokal untuk file dan direktori atau untuk membuat dan memetakan pembagian volume untuk pengguna pengontrol domain (bertindak sebagai server file).

Persyaratan:

1. Buat Infrastruktur Direktori Aktif dengan Samba4 di Ubuntu

Langkah 1: Konfigurasi Awal untuk Menggabungkan Ubuntu ke Samba4 AD

1. Sebelum mulai menggabungkan host Ubuntu ke dalam Active Directory DC Anda perlu memastikan bahwa beberapa layanan dikonfigurasi dengan benar pada mesin lokal.

Aspek penting dari mesin Anda mewakili nama host. Siapkan nama mesin yang tepat sebelum bergabung dengan domain dengan bantuan perintah hostnamectl atau dengan mengedit file /etc/hostname secara manual.

hostnamectl set-hostname your_machine_short_name
cat /etc/hostname
hostnamectl

2. Pada langkah berikutnya, buka dan edit secara manual setelan jaringan mesin Anda dengan konfigurasi IP yang tepat. Pengaturan terpenting di sini adalah alamat IP DNS yang mengarah kembali ke pengontrol domain Anda.

Edit file /etc/network/interfaces dan tambahkan pernyataan dns-nameservers dengan alamat IP AD dan nama domain Anda yang benar seperti yang diilustrasikan pada tangkapan layar di bawah.

Selain itu, pastikan alamat IP DNS dan nama domain yang sama ditambahkan ke file /etc/resolv.conf.

Pada tangkapan layar di atas, 192.168.1.254 dan 192.168.1.253 adalah alamat IP dari Samba4 AD DC dan Tecmint.lan< mewakili nama domain AD yang akan ditanyakan oleh semua mesin yang terintegrasi ke dalam ranah.

3. Mulai ulang layanan jaringan atau reboot mesin untuk menerapkan konfigurasi jaringan baru. Keluarkan perintah ping pada nama domain Anda untuk menguji apakah resolusi DNS berfungsi sesuai harapan.

AD DC harus memutar ulang dengan FQDN-nya. Jika Anda telah mengkonfigurasi server DHCP di jaringan Anda untuk secara otomatis menetapkan pengaturan IP untuk host LAN Anda, pastikan Anda menambahkan alamat IP AD DC ke konfigurasi DNS server DHCP.

systemctl restart networking.service
ping -c2 your_domain_name

4. Konfigurasi penting terakhir yang diperlukan diwakili oleh sinkronisasi waktu. Instal paket ntpdate, kueri dan waktu sinkronisasi dengan AD DC dengan mengeluarkan perintah di bawah ini.

sudo apt-get install ntpdate
sudo ntpdate -q your_domain_name
sudo ntpdate your_domain_name

5. Pada langkah berikutnya, instal perangkat lunak yang diperlukan oleh mesin Ubuntu untuk diintegrasikan sepenuhnya ke dalam domain dengan menjalankan perintah di bawah ini.

sudo apt-get install samba krb5-config krb5-user winbind libpam-winbind libnss-winbind

Saat paket Kerberos diinstal, Anda akan diminta memasukkan nama ranah default Anda. Gunakan nama domain Anda dengan huruf besar dan tekan tombol Enter untuk melanjutkan instalasi.

6. Setelah semua paket selesai diinstal, uji autentikasi Kerberos terhadap akun administratif AD dan daftarkan tiketnya dengan mengeluarkan perintah di bawah ini.

kinit ad_admin_user
klist

Langkah 2: Bergabunglah dengan Ubuntu ke Samba4 AD DC

7. Langkah pertama dalam mengintegrasikan mesin Ubuntu ke domain Samba4 Active Directory adalah mengedit file konfigurasi Samba.

Cadangkan file konfigurasi default Samba, yang disediakan oleh manajer paket, untuk memulai konfigurasi bersih dengan menjalankan perintah berikut.

mv /etc/samba/smb.conf /etc/samba/smb.conf.initial
nano /etc/samba/smb.conf 

Pada file konfigurasi Samba baru tambahkan baris di bawah ini:

[global]
        workgroup = TECMINT
        realm = TECMINT.LAN
        netbios name = ubuntu
        security = ADS
        dns forwarder = 192.168.1.1

idmap config * : backend = tdb        
idmap config *:range = 50000-1000000
	
   template homedir = /home/%D/%U
   template shell = /bin/bash
   winbind use default domain = true
   winbind offline logon = false
   winbind nss info = rfc2307
   winbind enum users = yes
   winbind enum groups = yes

  vfs objects = acl_xattr
  map acl inherit = Yes
  store dos attributes = Yes

Ganti variabel workgroup, realm, netbios name dan dns forwarder dengan pengaturan khusus Anda sendiri.

Parameter winbind menggunakan domain default menyebabkan layanan winbind memperlakukan nama pengguna AD yang tidak memenuhi syarat sebagai pengguna AD. Anda harus menghilangkan parameter ini jika Anda memiliki nama akun sistem lokal yang tumpang tindih dengan akun AD.

8. Sekarang Anda harus memulai ulang semua daemon samba dan menghentikan serta menghapus layanan yang tidak diperlukan dan mengaktifkan layanan samba di seluruh sistem dengan mengeluarkan perintah di bawah ini.

sudo systemctl restart smbd nmbd winbind
sudo systemctl stop samba-ad-dc
sudo systemctl enable smbd nmbd winbind

9. Gabungkan mesin Ubuntu ke Samba4 AD DC dengan mengeluarkan perintah berikut. Gunakan nama akun AD DC dengan hak istimewa administrator agar pengikatan ke ranah berfungsi seperti yang diharapkan.

sudo net ads join -U ad_admin_user

10. Dari mesin Windows dengan alat RSAT terinstal, Anda dapat membuka AD UC dan menavigasi ke wadah Komputer. Di sini, mesin Anda yang bergabung dengan Ubuntu harus terdaftar.

Langkah 3: Konfigurasikan Otentikasi Akun AD

11. Untuk melakukan autentikasi akun AD di mesin lokal, Anda perlu memodifikasi beberapa layanan dan file di mesin lokal.

Pertama, buka dan edit file konfigurasi The Name Service Switch (NSS).

sudo nano /etc/nsswitch.conf

Selanjutnya tambahkan nilai winbind untuk baris passwd dan grup seperti yang diilustrasikan pada kutipan di bawah ini.

passwd:         compat winbind
group:          compat winbind

12. Untuk menguji apakah mesin Ubuntu berhasil diintegrasikan ke ranah, jalankan perintah wbinfo untuk mencantumkan akun dan grup domain.

wbinfo -u
wbinfo -g

13. Juga, periksa modul Winbind nsswitch dengan mengeluarkan perintah getent dan menyalurkan hasilnya melalui filter seperti grep untuk mempersempit output hanya untuk pengguna atau grup domain tertentu.

sudo getent passwd| grep your_domain_user
sudo getent group|grep 'domain admins'

14. Untuk mengautentikasi mesin Ubuntu dengan akun domain, Anda perlu menjalankan perintah pam-auth-update dengan hak akses root dan menambahkan semua entri yang diperlukan untuk layanan winbind dan untuk secara otomatis membuat direktori home untuk setiap akun domain pada login pertama.

Periksa semua entri dengan menekan tombol [spasi] dan tekan ok untuk menerapkan konfigurasi.

sudo pam-auth-update

15. Pada sistem Debian Anda perlu mengedit file /etc/pam.d/common-account secara manual dan baris berikut untuk secara otomatis membuat rumah bagi pengguna domain yang diautentikasi.

session    required    pam_mkhomedir.so    skel=/etc/skel/    umask=0022

16. Agar pengguna Direktori Aktif dapat mengubah kata sandi dari baris perintah di Linux, buka /etc/pam.d/common-password file dan hapus pernyataan use_authtok dari baris kata sandi hingga akhirnya terlihat seperti kutipan di bawah ini.

password       [success=1 default=ignore]      pam_winbind.so try_first_pass

17. Untuk mengautentikasi pada host Ubuntu dengan akun Samba4 AD gunakan parameter nama pengguna domain setelah perintah su –. Jalankan perintah id untuk mendapatkan info tambahan tentang akun AD.

su - your_ad_user

Gunakan perintah pwd untuk melihat direktori pengguna domain Anda saat ini dan perintah passwd jika Anda ingin mengubah kata sandi.

18. Untuk menggunakan akun domain dengan hak akses root pada mesin Ubuntu Anda, Anda perlu menambahkan nama pengguna AD ke grup sistem sudo dengan mengeluarkan perintah di bawah ini:

sudo usermod -aG sudo your_domain_user

Masuk ke Ubuntu dengan akun domain dan perbarui sistem Anda dengan menjalankan perintah apt-get update untuk memeriksa apakah pengguna domain memiliki hak akses root.

19. Untuk menambahkan hak akses root pada grup domain, buka file /etc/sudoers yang diedit menggunakan perintah visudo dan tambahkan baris berikut seperti yang diilustrasikan pada tangkapan layar di bawah ini.

%YOUR_DOMAIN\\your_domain\  group       		 ALL=(ALL:ALL) ALL

Gunakan garis miring terbalik untuk menghindari spasi yang terdapat dalam nama grup domain Anda atau untuk menghindari garis miring terbalik pertama. Dalam contoh di atas, grup domain untuk ranah TECMINT diberi nama “admin domain ”.

Simbol (%) tanda persen di depannya menunjukkan bahwa yang kita maksud adalah suatu grup, bukan nama pengguna.

20. Jika Anda menjalankan versi grafis Ubuntu dan ingin masuk ke sistem dengan pengguna domain, Anda perlu memodifikasi pengelola tampilan LightDM dengan mengedit /usr/share/lightdm /lightdm.conf.d/50-ubuntu.conf, tambahkan baris berikut dan reboot mesin untuk mencerminkan perubahan.

greeter-show-manual-login=true
greeter-hide-users=true

Sekarang seharusnya dapat melakukan login di Desktop Ubuntu dengan akun domain menggunakan format domain_anda_nama_pengguna atau nama_domain_anda@domain_anda.tld atau format domain_anda\nama_pengguna_domain_anda .