Integrasikan Ubuntu ke Samba4 AD DC dengan SSSD dan Realm - Bagian 15

Tutorial ini akan memandu Anda tentang cara menggabungkan mesin Ubuntu Desktop ke domain Samba4 Active Directory dengan SSSD dan Realmd layanan untuk mengautentikasi pengguna terhadap Direktori Aktif.

Persyaratan:

  1. Buat Infrastruktur Direktori Aktif dengan Samba4 di Ubuntu

Langkah 1: Konfigurasi Awal

1. Sebelum mulai menggabungkan Ubuntu ke dalam Direktori Aktif, pastikan nama host telah dikonfigurasi dengan benar. Gunakan perintah hostnamectl untuk menyetel nama mesin atau mengedit file /etc/hostname secara manual.

sudo hostnamectl set-hostname your_machine_short_hostname
cat /etc/hostname
hostnamectl

2. Pada langkah berikutnya, edit pengaturan antarmuka jaringan mesin dan tambahkan konfigurasi IP yang tepat serta alamat server IP DNS yang benar untuk mengarah ke pengontrol domain Samba AD seperti yang diilustrasikan dalam tangkapan layar di bawah.

Jika Anda telah mengonfigurasi server DHCP di lokasi Anda untuk secara otomatis menetapkan pengaturan IP untuk mesin LAN Anda dengan alamat IP DNS AD yang tepat, maka Anda dapat melewati langkah ini dan melanjutkan.

Pada tangkapan layar di atas, 192.168.1.254 dan 192.168.1.253 mewakili alamat IP Pengontrol Domain Samba4.

3. Mulai ulang layanan jaringan untuk menerapkan perubahan menggunakan GUI atau dari baris perintah dan berikan serangkaian perintah ping terhadap nama domain Anda untuk menguji apakah resolusi DNS sudah benar. bekerja seperti yang diharapkan. Juga, gunakan perintah host untuk menguji resolusi DNS.

sudo systemctl restart networking.service
host your_domain.tld
ping -c2 your_domain_name
ping -c2 adc1
ping -c2 adc2

4. Terakhir, pastikan waktu mesin sinkron dengan Samba4 AD. Instal paket ntpdate dan sinkronkan waktu dengan AD dengan mengeluarkan perintah di bawah ini.

sudo apt-get install ntpdate
sudo ntpdate your_domain_name

Langkah 2: Instal Paket yang Diperlukan

5. Pada langkah ini, instal perangkat lunak yang diperlukan dan dependensi yang diperlukan untuk menggabungkan Ubuntu ke Samba4 AD DC: layanan Realmd dan SSSD.

sudo apt install adcli realmd krb5-user samba-common-bin samba-libs samba-dsdb-modules sssd sssd-tools libnss-sss libpam-sss packagekit policykit-1

6. Masukkan nama ranah default dengan huruf besar dan tekan tombol Enter untuk melanjutkan instalasi.

7. Selanjutnya, buat file konfigurasi SSSD dengan konten berikut.

sudo nano /etc/sssd/sssd.conf

Tambahkan baris berikut ke file sssd.conf.

[nss]
filter_groups = root
filter_users = root
reconnection_retries = 3

[pam]
reconnection_retries = 3

[sssd]
domains = tecmint.lan
config_file_version = 2
services = nss, pam
default_domain_suffix = TECMINT.LAN


[domain/tecmint.lan]
ad_domain = tecmint.lan
krb5_realm = TECMINT.LAN
realmd_tags = manages-system joined-with-samba
cache_credentials = True
id_provider = ad
krb5_store_password_if_offline = True
default_shell = /bin/bash
ldap_id_mapping = True
use_fully_qualified_names = True
fallback_homedir = /home/%d/%u
access_provider = ad

auth_provider = ad
chpass_provider = ad
access_provider = ad
ldap_schema = ad
dyndns_update = true
dyndns_refresh_interval = 43200
dyndns_update_ptr = true
dyndns_ttl = 3600

Pastikan Anda mengganti nama domain dengan parameter berikut:

domains = tecmint.lan
default_domain_suffix = TECMINT.LAN
[domain/tecmint.lan]
ad_domain = tecmint.lan
krb5_realm = TECMINT.LAN

8. Selanjutnya, tambahkan izin yang sesuai untuk file SSSD dengan mengeluarkan perintah di bawah ini:

sudo chmod 700 /etc/sssd/sssd.conf

9. Sekarang, buka dan edit file konfigurasi Realmd dan tambahkan baris berikut.

sudo nano /etc/realmd.conf

Kutipan file Realmd.conf:

[active-directory]
os-name = Linux Ubuntu
os-version = 17.04

[service]
automatic-install = yes

 [users]
default-home = /home/%d/%u
default-shell = /bin/bash

[tecmint.lan]
user-principal = yes
fully-qualified-names = no

10. File terakhir yang perlu Anda modifikasi adalah milik daemon Samba. Buka file /etc/samba/smb.conf untuk diedit dan tambahkan blok kode berikut di awal file, setelah bagian [global] seperti yang diilustrasikan pada gambar di bawah.

 workgroup = TECMINT
   client signing = yes
   client use spnego = yes
   kerberos method = secrets and keytab
   realm = TECMINT.LAN
   security = ads

Pastikan Anda mengganti nilai nama domain, terutama nilai ranah agar sesuai dengan nama domain Anda dan jalankan perintah testparm untuk memeriksa apakah konfigurasinya file tidak mengandung kesalahan.

sudo testparm

11. Setelah Anda melakukan semua perubahan yang diperlukan, uji autentikasi Kerberos menggunakan akun administratif AD dan daftarkan tiketnya dengan mengeluarkan perintah di bawah ini.

sudo kinit [email 
sudo klist

Langkah 3: Bergabunglah dengan Ubuntu ke Samba4 Realm

12. Untuk menggabungkan mesin Ubuntu ke Direktori Aktif Samba4, jalankan rangkaian perintah berikut seperti yang diilustrasikan di bawah ini. Gunakan nama akun AD DC dengan hak istimewa administrator agar pengikatan ke ranah berfungsi seperti yang diharapkan dan ganti nilai nama domain yang sesuai.

sudo realm discover -v DOMAIN.TLD
sudo realm list
sudo realm join TECMINT.LAN -U ad_admin_user -v
sudo net ads join -k

13. Setelah pengikatan domain dilakukan, jalankan perintah di bawah ini untuk memastikan bahwa semua akun domain diizinkan untuk mengautentikasi pada mesin.

sudo realm permit --all

Selanjutnya, Anda dapat mengizinkan atau menolak akses untuk akun pengguna domain atau grup menggunakan perintah realm seperti yang disajikan pada contoh di bawah ini.

sudo realm deny -a
realm permit --groups ‘domain.tld\Linux Admins’
realm permit [email 
realm permit DOMAIN\\User2

14. Dari mesin Windows dengan alat RSAT terinstal, Anda dapat membuka AD UC dan menavigasi ke wadah Komputer dan memeriksa apakah ada akun objek dengan nama tersebut mesin Anda telah dibuat.

Langkah 4: Konfigurasikan Otentikasi Akun AD

15. Untuk mengautentikasi pada mesin Ubuntu dengan akun domain, Anda perlu menjalankan perintah pam-auth-update dengan hak akses root dan mengaktifkan semua profil PAM termasuk opsi untuk membuat secara otomatis direktori home untuk setiap akun domain pada login pertama.

Periksa semua entri dengan menekan tombol [spasi] dan tekan ok untuk menerapkan konfigurasi.

sudo pam-auth-update

16. Pada sistem, edit file /etc/pam.d/common-account secara manual dan baris berikut untuk secara otomatis membuat rumah bagi pengguna domain yang diautentikasi.

session    required    pam_mkhomedir.so    skel=/etc/skel/    umask=0022

17. Jika pengguna Direktori Aktif tidak dapat mengubah sandi mereka dari baris perintah di Linux, buka file /etc/pam.d/common-password dan hapus file pernyataan use_authtok dari baris kata sandi hingga akhirnya terlihat seperti kutipan di bawah ini.

password       [success=1 default=ignore]      pam_winbind.so try_first_pass

18. Terakhir, mulai ulang dan aktifkan layanan Realmd dan SSSD untuk menerapkan perubahan dengan mengeluarkan perintah di bawah ini:

sudo systemctl restart realmd sssd
sudo systemctl enable realmd sssd

19. Untuk menguji apakah mesin Ubuntu berhasil diintegrasikan ke realm, jalankan instal paket winbind dan jalankan perintah wbinfo untuk membuat daftar akun dan grup domain seperti yang diilustrasikan di bawah.

sudo apt-get install winbind
wbinfo -u
wbinfo -g

20. Selain itu, periksa modul Winbind nsswitch dengan mengeluarkan perintah getent terhadap pengguna atau grup domain tertentu.

sudo getent passwd your_domain_user
sudo getent group ‘domain admins’

21. Anda juga dapat menggunakan perintah id Linux untuk mendapatkan info tentang akun AD seperti yang diilustrasikan pada perintah di bawah ini.

id tecmint_user

22. Untuk mengautentikasi pada host Ubuntu dengan akun Samba4 AD gunakan parameter nama pengguna domain setelah perintah su –. Jalankan perintah id untuk mendapatkan info tambahan tentang akun AD.

su - your_ad_user

Gunakan perintah pwd untuk melihat direktori kerja pengguna domain Anda saat ini dan perintah passwd jika Anda ingin mengubah kata sandi.

23. Untuk menggunakan akun domain dengan hak akses root pada mesin Ubuntu Anda, Anda perlu menambahkan nama pengguna AD ke grup sistem sudo dengan mengeluarkan perintah di bawah ini:

sudo usermod -aG sudo [email 

Masuk ke Ubuntu dengan akun domain dan perbarui sistem Anda dengan menjalankan perintah apt update untuk memeriksa hak akses root.

24. Untuk menambahkan hak akses root ke grup domain, buka file /etc/sudoers edit akhir menggunakan perintah visudo dan tambahkan baris berikut seperti yang diilustrasikan .

%domain\ [email        		 ALL=(ALL:ALL) ALL

25. Untuk menggunakan autentikasi akun domain pada Desktop Ubuntu, modifikasi pengelola tampilan LightDM dengan mengedit /usr/share/lightdm/lightdm.conf.d/50-ubuntu. conf, tambahkan dua baris berikut dan mulai ulang layanan lightdm atau reboot mesin, terapkan perubahan.

greeter-show-manual-login=true
greeter-hide-users=true

Masuk ke Desktop Ubuntu dengan akun domain menggunakan sintaks nama_domain_anda atau nama_pengguna_domain_anda@domain_anda.tld.

26. Untuk menggunakan format nama pendek untuk akun Samba AD, edit file /etc/sssd/sssd.conf, tambahkan baris berikut di [sssd] seperti yang diilustrasikan di bawah ini.

full_name_format = %1$s

dan restart daemon SSSD untuk menerapkan perubahan.

sudo systemctl restart sssd

Anda akan melihat bahwa bash prompt akan berubah menjadi nama pendek pengguna AD tanpa menambahkan rekanan nama domain.

27. Jika Anda tidak dapat login karena argumen enumerate=true yang disetel di sssd.conf Anda harus menghapus database cache sssd dengan mengeluarkan perintah di bawah ini :

rm /var/lib/sss/db/cache_tecmint.lan.ldb

Itu saja! Meskipun panduan ini terutama difokuskan pada integrasi dengan Direktori Aktif Samba4, langkah yang sama dapat diterapkan untuk mengintegrasikan Ubuntu dengan layanan Realmd dan SSSD ke dalam Direktori Aktif Microsoft Windows Server.