如何将Ubuntu 18.04 / Debian 10加入Active Directory(AD)域

[*]

/ *自定义CSS * /
.tdi_3_ddd.td-a-rec-img {
文字对齐:左;
} .tdi_3_ddd.td-a-rec-img img {
保证金:0自动0 0;
}

问题:如何将Ubuntu 18.04加入Windows域?如何将Debian 10加入Active Directory域?本文旨在显示如何使用 领域 将Ubuntu 18.04 / Debian 10服务器或桌面加入Active Directory域。 Active Directory域是大多数企业环境中用户信息的中央枢纽。

例如,在我公司的基础结构中,一项关键要求是使用Active Directory凭据针对所有Linux系统对所有用户进行身份验证。这对于基于Debian和Red Hat的Linux发行版均适用。我之前创建了RHEL / CentOS指南。请从下面的链接检查。

如何将CentOS 8 / RHEL 8系统加入Active Directory(AD)域

[*]

/ *自定义CSS * /
.tdi_2_e17.td-a-rec-img {
文字对齐:左;
} .tdi_2_e17.td-a-rec-img img {
保证金:0自动0 0;
}

本指南介绍如何配置SSSD以从同一Active Directory资源林中的域获取信息。如果使用多个AD林,则本指南可能无用。更进一步,为通过AD登录的用户配置sudo规则。下图显示了设置及其工作方式。

请按照以下步骤将Ubuntu 18.04 / Debian 10加入Active Directory(AD)域。

步骤1:更新APT索引

首先更新您的Ubuntu / Debian Linux系统。

sudo apt -y update

这是至关重要的,因为全新的服务器安装可能会导致安装失败。

对于Ubuntu 18.04,将以下存储库添加到sources.list文件:

sudo tee -a /etc/apt/sources.list <ubuntu.com/ubuntu/ bionic universe
deb http://us.archive.ubuntu.com/ubuntu/ bionic-updates universe
EOF

步骤2:设定伺服器主机名称和DNS

使用正确的域组件为服务器设置适当的主机名。

sudo hostnamectl set-hostname myubuntu.example.com

检查主机名:

$ hostnamectl
   Static hostname: myubuntu.example.com
         Icon name: computer-vm
           Chassis: vm
        Machine ID: 5beb7ac3260c4f00bcfbe1088f48b8c7
           Boot ID: b2a0d9abe43b455fb49484dbaa59dc41
    Virtualization: vmware
  Operating System: Ubuntu 18.04.1 LTS
            Kernel: Linux 4.15.0-29-generic
      Architecture: x86-64

确保DNS ia配置正确。

$ cat /etc/resolv.conf

包含在Ubuntu 18.04中 系统解析 必须禁用服务器才能直接访问网络DNS。

sudo systemctl disable systemd-resolved
sudo systemctl stop systemd-resolved

步骤3:安装所需的软件包

需要几个软件包才能将Ubuntu 18.04 / Debian 10系统加入Active Directory(AD)域。

sudo apt update
sudo apt -y install realmd libnss-sss libpam-sss sssd sssd-tools adcli samba-common-bin oddjob oddjob-mkhomedir packagekit

仅在成功安装依赖项之后,您才能继续在Debian 10 / Ubuntu 18.04中发现Active Directory域。

步骤4:在Debian 10 / Ubuntu 18.04上发现Active Directory域

realm discover命令返回完整的域配置以及需要安装的软件包列表,以便向该域注册系统。

$ sudo realm discover example.com
example.com
  type: kerberos
  realm-name: EXAMPLE.COM
  domain-name: example.com
  configured: no
  server-software: active-directory
  client-software: sssd
  required-package: sssd-tools
  required-package: sssd
  required-package: libnss-sss
  required-package: libpam-sss
  required-package: adcli
  required-package: samba-common-bin

用有效的AD域替换example.com。

步骤5:将Ubuntu 18.04 / Debian 10加入Active Directory(AD)域

要将Linux计算机与Windows Active Directory域集成,您需要一个AD管理员用户帐户。检查AD管理员帐号和密码。

realm join命令通过配置本地系统服务和标识域条目来设置要在指定域中使用的本地计算机。该命令具有许多选项,可以使用以下选项查看:

$ realm join --help

基本命令执行如下。

$ sudo realm join -U Administrator example.com
Password for Administrator:

其中:

  • 管理员 用于将计算机与AD集成的管理员帐户的名称。
  • example.com AD域名

该命令首先尝试在没有凭据的情况下进行连接,但是在必要时提示输入密码。

显示当前区域的详细信息。

$ realm  list
example.com
  type: kerberos
  realm-name: EXAMPLE.COM
  domain-name: example.com
  configured: kerberos-member
  server-software: active-directory
  client-software: sssd
  required-package: sssd-tools
  required-package: sssd
  required-package: libnss-sss
  required-package: libpam-sss
  required-package: adcli
  required-package: samba-common-bin
  login-formats: %[email protected]
  login-policy: allow-realm-logins

在基于RHEL的系统上,将自动创建用户的主目录。对于Ubuntu / Debian,您需要启用此功能。

sudo bash -c "cat > /usr/share/pam-configs/mkhomedir" <

然后使用以下命令激活:

sudo pam-auth-update

请选择

如何将Ubuntu 18.04 / Debian 10加入Active Directory(AD)域

确认一下 “激活mkhomedir” 必须选择 [*]

如何将Ubuntu 18.04 / Debian 10加入Active Directory(AD)域

然后选择 保存您的更改。

你的 sssd.conf 配置文件位于/etc/sssd/sssd.conf。每次文件更改时都需要重新启动。

sudo systemctl restart sssd

状态正在运行。

$ systemctl status sssd

如果集成正常,则应该能够获得AD用户信息。

$ id jmutai
uid=1783929917([email protected]) gid=1784800513(domain [email protected]) groups=1783870513(domain [email protected])

步骤6:控制对用户/组的访问限制

您可以通过仅允许某些用户/组来限制对注册服务器的访问。

限制用户

要允许用户通过SSH和控制台访问,请使用以下命令:

$ realm permit [email protected]
$ realm permit [email protected] [email protected]

允许访问组-示例

$ ream permit -g sysadmins
$ realm permit -g 'Security Users'
$ realm permit 'Domain Users' 'admin users'

这将更改sssd.conf文件。

如果要允许所有用户访问,请执行以下操作:

$ sudo realm permit --all

要拒绝所有域用户访问,请使用:

$ sudo realm  deny --all

步骤7:配置Sudo访问

默认情况下,域用户无权升级权限
在路线上。必须基于用户名或组为用户授予访问权限。

首先,让我们创建一个sudo权限授予文件。

$ sudo vi /etc/sudoers.d/domain_admins

添加一个用户。

[email protected]        ALL=(ALL)       ALL

添加其他用户。

[email protected]     ALL=(ALL)   ALL
[email protected]     ALL=(ALL)   ALL

新增群组

%[email protected]     ALL=(ALL)   ALL

添加具有两个或三个名称的组。

%security [email protected]       ALL=(ALL)       ALL
%system super [email protected] ALL=(ALL)       ALL

步骤8:测试SSH访问

远程访问服务器,因为允许AD用户登录。

$ ssh [email protected]
The authenticity of host 'localhost (::1)' can't be established.
ECDSA key fingerprint is SHA256:wmWcLi/lijm4zWbQ/Uf6uLMYzM7g1AnBwxzooqpB5CU.
ECDSA key fingerprint is MD5:10:0c:cb:22:fd:28:34:c6:3e:d7:68:15:02:f9:b4:e9.
Are you sure you want to continue connecting (yes/no)? yes
Warning: Permanently added 'localhost' (ECDSA) to the list of known hosts.

这是对配置成功的确认。来访 领域固态硬盘 有关详细信息,请参见Wiki页面。

标签:

  • 将Ubuntu 18.04加入Windows域
  • 将Ubuntu 18.04加入AD
  • 将Ubuntu 18.04加入Active Directory
  • 加入Ubuntu 18.04到Samba域
  • 将Debian 10加入Windows域
  • 参与AD中的Debian 10
  • 将Debian 10加入Active Directory
  • 将Debian 10加入Samba网域

相关指南:

使用FreeIPA在SSSD中为AD受信任用户设置默认登录Shell

在Ubuntu 18.04 / CentOS 7上配置FreeIPA客户端

如何在Debian 10(Buster)上安装和配置OpenLDAP服务器

如何在Ubuntu 18.04 LTS上安装和配置OpenLDAP服务器

[*]

/ *自定义CSS * /
.tdi_4_7a7.td-a-rec-img {
文字对齐:左;
} .tdi_4_7a7.td-a-rec-img img {
保证金:0自动0 0;
}

Sidebar