Zoeken op website

Integreer CentOS 7 in Samba4 AD vanaf Commandline - Deel 14

In deze handleiding ziet u hoe u een CentOS 7-server zonder grafische gebruikersinterface kunt integreren met de Samba4 Active Directory-domeincontroller vanaf de opdrachtregel met behulp van Authconfig-software.

Dit type installatie biedt één gecentraliseerde accountdatabase die wordt bijgehouden door Samba en stelt de AD-gebruikers in staat zich te verifiëren bij de CentOS-server via de netwerkinfrastructuur.

Vereisten

  1. Creëer een Active Directory-infrastructuur met Samba4 op Ubuntu
  2. CentOS 7.3 Installatiehandleiding

Stap 1: Configureer CentOS voor Samba4 AD DC

1. Voordat u begint met het samenvoegen van CentOS 7 Server in een Samba4 DC, moet u ervoor zorgen dat de netwerkinterface correct is geconfigureerd om domeinen op te vragen via DNS dienst.

Voer de opdracht IP-adres uit om de netwerkinterfaces van uw machine weer te geven en kies de specifieke NIC die u wilt bewerken door de opdracht nmtui-edit op te geven tegen de interfacenaam, zoals ens33 in dit voorbeeld, zoals hieronder geïllustreerd.

ip address
nmtui-edit ens33

2. Zodra de netwerkinterface is geopend voor bewerking, voegt u de statische IPv4-configuraties toe die het meest geschikt zijn voor uw LAN en zorgt u ervoor dat u Samba AD Domain Controllers IP-adressen instelt voor de DNS-servers.

Voeg ook de naam van uw domein toe aan de zoekdomeinen en navigeer naar de OK knop met de [TAB] toets om de wijzigingen toe te passen.

De ingediende zoekdomeinen zorgen ervoor dat de domein-tegenhanger automatisch wordt toegevoegd door DNS-resolutie (FQDN) wanneer u alleen een korte naam gebruikt voor een domein-DNS-record.

3. Start ten slotte de netwerkdaemon opnieuw op om de wijzigingen toe te passen en test of de DNS-resolutie correct is geconfigureerd door een reeks ping opdrachten uit te voeren tegen de domeinnaam en de korte namen van de domeincontrollers, zoals weergegeven onderstaand.

systemctl restart network.service
ping -c2 tecmint.lan
ping -c2 adc1
ping -c2 adc2

4. Configureer ook de hostnaam van uw machine en start de machine opnieuw op om de instellingen correct toe te passen door de volgende opdrachten te geven.

hostnamectl set-hostname your_hostname
init 6

Controleer of de hostnaam correct is toegepast met de onderstaande opdrachten.

cat /etc/hostname
hostname

5. Synchroniseer ten slotte de lokale tijd met Samba4 AD DC door de onderstaande opdrachten uit te voeren met rootrechten.

yum install ntpdate
ntpdate domain.tld

Stap 2: Voeg CentOS 7 Server toe aan Samba4 AD DC

6. Om de CentOS 7-server te koppelen aan Samba4 Active Directory, installeert u eerst de volgende pakketten op uw computer vanaf een account met rootrechten.

yum install authconfig samba-winbind samba-client samba-winbind-clients

7. Om de CentOS 7-server te integreren met een domeincontroller, voert u het grafische hulpprogramma authconfig-tui uit met rootrechten en gebruikt u de onderstaande configuraties zoals hieronder beschreven.

authconfig-tui

Kies in het eerste promptscherm:

  • Over Gebruikersinformatie:

    • Gebruik Winbind

  • Selecteer op het tabblad Authenticatie door op de toets [Spatie] te drukken:

    • Gebruik Schaduwwachtwoord
    • Gebruik Winbind-authenticatie
    • Lokale toestemming is voldoende

8. Druk op Volgende om door te gaan naar het Winbind-instellingenscherm en configureer zoals hieronder geïllustreerd:

  • Beveiligingsmodel: advertenties
  • Domein = YOUR_DOMAIN (gebruik hoofdletters)
  • Domeincontrollers=domeinmachines FQDN (door komma's gescheiden indien er meer dan één is)
  • ADS Realm = UW_DOMAIN.TLD
  • Sjabloonshell = /bin/bash

9. Om lid te worden van een domein, ga naar de knop Deelnemen aan een domein met behulp van de [tab]-toets en druk op de [Enter]-toets domein aanmelden.

Voeg bij de volgende schermprompt de inloggegevens toe voor een Samba4 AD-account met verhoogde rechten om het machineaccount toe te voegen aan AD en druk op OK om de instellingen toe te passen en de prompt te sluiten.

Houd er rekening mee dat wanneer u het gebruikerswachtwoord typt, de inloggegevens niet in het wachtwoordscherm worden weergegeven. Op het resterende scherm drukt u nogmaals op OK om de domeinintegratie voor de CentOS 7-machine te voltooien.

Om het toevoegen van een machine aan een specifieke Samba AD-organisatie-eenheid te forceren, haalt u de exacte naam van uw machine op met behulp van de opdracht hostname en maakt u een nieuw Computer-object in die OU met de naam van uw machine.

De beste manier om een nieuw object toe te voegen aan een Samba4 AD is door de ADUC tool te gebruiken vanaf een Windows-machine die in het domein is geïntegreerd en waarop RSAT-tools zijn geïnstalleerd.

Belangrijk: een alternatieve methode om lid te worden van een domein is het gebruik van de authconfig-opdrachtregel, die uitgebreide controle biedt over het integratieproces.

Deze methode is echter gevoelig voor fouten in de talrijke parameters, zoals geïllustreerd in het onderstaande opdrachtfragment. De opdracht moet in één lange regel worden getypt.

authconfig --enablewinbind --enablewinbindauth --smbsecurity ads --smbworkgroup=YOUR_DOMAIN --smbrealm YOUR_DOMAIN.TLD --smbservers=adc1.yourdomain.tld --krb5realm=YOUR_DOMAIN.TLD --enablewinbindoffline --enablewinbindkrb5 --winbindtemplateshell=/bin/bash--winbindjoin=domain_admin_user --update  --enablelocauthorize   --savebackup=/backups

10. Nadat de machine is toegevoegd aan het domein, controleert u of de winbind-service actief is door de onderstaande opdracht te geven.

systemctl status winbind.service

11. Controleer vervolgens of het CentOS-machineobject met succes is aangemaakt in Samba4 AD. Gebruik de tool AD Users and Computers vanaf een Windows-machine waarop RSAT-tools zijn geïnstalleerd en navigeer naar de container Computers van uw domein. Een nieuw AD-computeraccountobject met de naam van uw CentOS 7-server zou in het rechtervlak moeten worden vermeld.

12. Pas ten slotte de configuratie aan door het hoofdconfiguratiebestand van Samba (/etc/samba/smb.conf) te openen met een teksteditor en de onderstaande regels toe te voegen aan het einde van het [global] configuratieblok, zoals hieronder geïllustreerd:

winbind use default domain = true
winbind offline logon = true

13. Om bij de eerste aanmelding lokale huizen op de machine te maken voor AD-accounts, voert u de onderstaande opdracht uit.

authconfig --enablemkhomedir --update

14. Start ten slotte de Samba-daemon opnieuw op om de wijzigingen weer te geven en verifieer de deelname aan het domein door u aan te melden op de server met een AD-account. De thuismap voor het AD-account moet automatisch worden aangemaakt.

systemctl restart winbind
su - domain_account

15. Maak een lijst van de domeingebruikers of domeingroepen door een van de volgende opdrachten te geven.

wbinfo -u
wbinfo -g

16. Voer de onderstaande opdracht uit om informatie over een domeingebruiker te krijgen.

wbinfo -i domain_user

17. Om een samenvatting van de domeininformatie weer te geven, voert u de volgende opdracht uit.

net ads info

Stap 3: Meld u aan bij CentOS met een Samba4 AD DC-account

18. Om te authenticeren bij een domeingebruiker in CentOS, gebruikt u een van de volgende opdrachtregelsyntaxis.

su - ‘domain\domain_user’
su - domain\\domain_user

Of gebruik de onderstaande syntaxis in het geval dat winbind de parameter default domain=true gebruikt, die is ingesteld op het samba-configuratiebestand.

su - domain_user
su - [email 

19. Om rootrechten toe te voegen aan een domeingebruiker of -groep, bewerkt u het sudoers-bestand met de visudo-opdracht en voegt u de volgende regels toe, zoals geïllustreerd op onderstaande schermafbeelding.

YOUR_DOMAIN\\domain_username       		 ALL=(ALL:ALL) ALL  	#For domain users
%YOUR_DOMAIN\\your_domain\  group       	 ALL=(ALL:ALL) ALL	#For domain groups

Of gebruik het onderstaande fragment in het geval dat winbind de parameter default domain=true gebruikt, die is ingesteld op het samba-configuratiebestand.

domain_username 	        	 ALL=(ALL:ALL) ALL  	#For domain users
%your_domain\  group       		 ALL=(ALL:ALL) ALL	#For domain groups

20. De volgende reeks opdrachten tegen een Samba4 AD DC kan ook nuttig zijn bij het oplossen van problemen:

wbinfo -p #Ping domain
wbinfo -n domain_account #Get the SID of a domain account
wbinfo -t  #Check trust relationship

21. Om het domein te verlaten, voert u de volgende opdracht uit op uw domeinnaam met behulp van een domeinaccount met verhoogde rechten. Nadat het machineaccount uit de AD is verwijderd, start u de machine opnieuw op om de wijzigingen vóór het integratieproces ongedaan te maken.

net ads leave -w DOMAIN -U domain_admin
init 6

Dat is alles! Hoewel deze procedure voornamelijk gericht is op het koppelen van een CentOS 7-server aan een Samba4 AD DC, gelden dezelfde stappen die hier worden beschreven ook voor het integreren van een CentOS-server in een Microsoft Windows Server 2012 Active Directory.