ค้นหาเว็บไซต์

รวม CentOS 7 เข้ากับ Samba4 AD จาก Commandline - ตอนที่ 14

คู่มือนี้จะแสดงให้คุณเห็นว่าคุณสามารถรวมเซิร์ฟเวอร์ CentOS 7 ที่ไม่มีอินเทอร์เฟซผู้ใช้แบบกราฟิกเข้ากับ Samba4 Active Directory Domain Controller จากบรรทัดคำสั่งโดยใช้ซอฟต์แวร์ Authconfig ได้อย่างไร

การตั้งค่าประเภทนี้มีฐานข้อมูลบัญชีรวมศูนย์เดียวที่ถือโดย Samba และช่วยให้ผู้ใช้ AD สามารถตรวจสอบสิทธิ์เซิร์ฟเวอร์ CentOS ผ่านโครงสร้างพื้นฐานเครือข่ายได้

ความต้องการ

  1. สร้างโครงสร้างพื้นฐาน Active Directory ด้วย Samba4 บน Ubuntu
  2. คู่มือการติดตั้ง CentOS 7.3

ขั้นตอนที่ 1: กำหนดค่า CentOS สำหรับ Samba4 AD DC

1. ก่อนที่จะเริ่มเข้าร่วมเซิร์ฟเวอร์ CentOS 7 ใน Samba4 DC คุณต้องแน่ใจว่าอินเทอร์เฟซเครือข่ายได้รับการกำหนดค่าอย่างเหมาะสมเพื่อสืบค้นโดเมนผ่าน DNS บริการ.

เรียกใช้คำสั่งที่อยู่ IP เพื่อแสดงรายการอินเทอร์เฟซเครือข่ายของเครื่องของคุณ และเลือก NIC เฉพาะที่จะแก้ไขโดยออกคำสั่ง nmtui-edit กับชื่ออินเทอร์เฟซ เช่น ens33 ในตัวอย่างนี้ เป็น ภาพประกอบด้านล่าง

ip address
nmtui-edit ens33

2. เมื่อเปิดอินเทอร์เฟซเครือข่ายสำหรับการแก้ไข ให้เพิ่มการกำหนดค่า IPv4 แบบคงที่ที่เหมาะสมที่สุดสำหรับ LAN ของคุณ และตรวจสอบให้แน่ใจว่าคุณได้ตั้งค่าที่อยู่ IP ตัวควบคุมโดเมนของ Samba AD สำหรับเซิร์ฟเวอร์ DNS

นอกจากนี้ ให้เพิ่มชื่อโดเมนของคุณต่อท้ายโดเมนการค้นหาที่จัดเก็บไว้ และไปที่ปุ่ม ตกลง โดยใช้ปุ่ม [TAB] เพื่อใช้การเปลี่ยนแปลง

โดเมนการค้นหาที่ยื่นช่วยให้มั่นใจได้ว่าคู่โดเมนจะถูกต่อท้ายโดยอัตโนมัติด้วยการแก้ไข DNS (FQDN) เมื่อคุณใช้เพียงชื่อย่อสำหรับระเบียน DNS ของโดเมน

3. สุดท้าย ให้รีสตาร์ท daemon เครือข่ายเพื่อใช้การเปลี่ยนแปลงและทดสอบว่าการแก้ไข DNS ได้รับการกำหนดค่าอย่างเหมาะสมหรือไม่ โดยออกชุดคำสั่ง ping กับชื่อโดเมนและชื่อย่อของตัวควบคุมโดเมนตามที่แสดง ด้านล่าง.

systemctl restart network.service
ping -c2 tecmint.lan
ping -c2 adc1
ping -c2 adc2

4. นอกจากนี้ ให้กำหนดค่าชื่อโฮสต์ของเครื่องและรีบูตเครื่องเพื่อใช้การตั้งค่าอย่างเหมาะสมโดยออกคำสั่งต่อไปนี้

hostnamectl set-hostname your_hostname
init 6

ตรวจสอบว่ามีการใช้ชื่อโฮสต์อย่างถูกต้องด้วยคำสั่งด้านล่าง

cat /etc/hostname
hostname

5. สุดท้าย ซิงค์เวลาท้องถิ่นกับ Samba4 AD DC โดยออกคำสั่งด้านล่างพร้อมสิทธิ์รูท

yum install ntpdate
ntpdate domain.tld

ขั้นตอนที่ 2: เข้าร่วมเซิร์ฟเวอร์ CentOS 7 กับ Samba4 AD DC

6. หากต้องการเข้าร่วมเซิร์ฟเวอร์ CentOS 7 กับ Samba4 Active Directory ขั้นแรกให้ติดตั้งแพ็คเกจต่อไปนี้บนเครื่องของคุณจากบัญชีที่มีสิทธิ์ใช้งานรูท

yum install authconfig samba-winbind samba-client samba-winbind-clients

7. เพื่อรวมเซิร์ฟเวอร์ CentOS 7 เข้ากับตัวควบคุมโดเมน ให้เรียกใช้ยูทิลิตี้กราฟิก authconfig-tui ที่มีสิทธิ์ใช้งานรูท และใช้การกำหนดค่าด้านล่างตามที่อธิบายไว้ด้านล่าง

authconfig-tui

ที่หน้าจอพร้อมท์แรกให้เลือก:

  • ในข้อมูลผู้ใช้:

    • ใช้วินไบนด์

  • บนแท็บ การตรวจสอบสิทธิ์ ให้เลือกโดยกดปุ่ม [Space]:

    • ใช้รหัสผ่านเงา
    • ใช้ การรับรองความถูกต้อง Winbind
    • การอนุญาตในท้องถิ่นก็เพียงพอแล้ว

8. กด ถัดไป เพื่อไปยังหน้าจอการตั้งค่า Winbind และกำหนดค่าตามภาพด้านล่าง:

  • รูปแบบการรักษาความปลอดภัย: โฆษณา
  • โดเมน=YOUR_DOMAIN (ใช้ตัวพิมพ์ใหญ่)
  • Domain Controllers=เครื่องโดเมน FQDN (คั่นด้วยเครื่องหมายจุลภาคหากมีมากกว่าหนึ่งเครื่อง)
  • ขอบเขตโฆษณา=YOUR_DOMAIN.TLD
  • เชลล์เทมเพลต=/bin/bash

9. ในการเข้าร่วมโดเมน ให้ไปที่ปุ่ม เข้าร่วมโดเมน โดยใช้ปุ่ม [tab] และกดปุ่ม [Enter] เพื่อเข้าร่วมโดเมน

ที่ข้อความแจ้งในหน้าจอถัดไป ให้เพิ่มข้อมูลรับรองสำหรับบัญชี Samba4 AD ที่มีสิทธิ์ระดับสูงเพื่อดำเนินการบัญชีเครื่องที่เข้าร่วมใน AD แล้วกด ตกลง เพื่อใช้การตั้งค่าและปิดข้อความแจ้ง

โปรดทราบว่าเมื่อคุณพิมพ์รหัสผ่านผู้ใช้ ข้อมูลประจำตัวจะไม่แสดงในหน้าจอรหัสผ่าน ในหน้าจอที่เหลือ ให้กด ตกลง อีกครั้งเพื่อสิ้นสุดการรวมโดเมนสำหรับเครื่อง CentOS 7

หากต้องการบังคับให้เพิ่มเครื่องลงใน หน่วยองค์กร Samba AD ให้รับชื่อเครื่องของคุณโดยใช้คำสั่งชื่อโฮสต์ และสร้างออบเจ็กต์คอมพิวเตอร์ใหม่ใน OU นั้นด้วยชื่อเครื่องของคุณ

วิธีที่ดีที่สุดในการเพิ่มออบเจ็กต์ใหม่ลงใน Samba4 AD คือการใช้เครื่องมือ ADUC จากเครื่อง Windows ที่รวมอยู่ในโดเมนโดยมีเครื่องมือ RSAT ติดตั้งอยู่

ข้อสำคัญ: วิธีอื่นในการเข้าร่วมโดเมนคือการใช้บรรทัดคำสั่ง authconfig ซึ่งให้การควบคุมกระบวนการรวมระบบที่ครอบคลุม

อย่างไรก็ตาม วิธีการนี้มีแนวโน้มที่จะเกิดข้อผิดพลาดกับพารามิเตอร์ต่างๆ มากมายดังที่แสดงในข้อความที่ตัดตอนมาจากคำสั่งด้านล่าง ต้องพิมพ์คำสั่งเป็นบรรทัดยาวบรรทัดเดียว

authconfig --enablewinbind --enablewinbindauth --smbsecurity ads --smbworkgroup=YOUR_DOMAIN --smbrealm YOUR_DOMAIN.TLD --smbservers=adc1.yourdomain.tld --krb5realm=YOUR_DOMAIN.TLD --enablewinbindoffline --enablewinbindkrb5 --winbindtemplateshell=/bin/bash--winbindjoin=domain_admin_user --update  --enablelocauthorize   --savebackup=/backups

10. หลังจากที่เครื่องเข้าร่วมโดเมนแล้ว ให้ตรวจสอบว่าบริการ winbind เปิดใช้งานและทำงานอยู่หรือไม่โดยออกคำสั่งด้านล่าง

systemctl status winbind.service

11. จากนั้น ตรวจสอบว่าวัตถุเครื่อง CentOS ถูกสร้างขึ้นใน Samba4 AD สำเร็จหรือไม่ ใช้เครื่องมือ AD Users and Computers จากเครื่อง Windows ที่ติดตั้งเครื่องมือ RSAT แล้วไปที่โดเมน Computers Containers วัตถุบัญชีคอมพิวเตอร์ AD ใหม่ที่มีชื่อเซิร์ฟเวอร์ CentOS 7 ของคุณควรแสดงรายการอยู่ในระนาบที่ถูกต้อง

12. สุดท้าย ปรับแต่งการกำหนดค่าโดยการเปิดไฟล์การกำหนดค่าหลักของ samba (/etc/samba/smb.conf) ด้วยโปรแกรมแก้ไขข้อความ และต่อท้ายบรรทัดด้านล่างที่ส่วนท้ายของ บล็อกการกำหนดค่า [ทั่วโลก] ดังภาพด้านล่าง:

winbind use default domain = true
winbind offline logon = true

13. ในการสร้างโฮมท้องถิ่นบนเครื่องสำหรับบัญชี AD เมื่อเข้าสู่ระบบครั้งแรก ให้รันคำสั่งด้านล่าง

authconfig --enablemkhomedir --update

14. สุดท้าย รีสตาร์ท Samba daemon เพื่อให้สอดคล้องกับการเปลี่ยนแปลงและตรวจสอบการเข้าร่วมโดเมนโดยทำการเข้าสู่ระบบบนเซิร์ฟเวอร์ด้วยบัญชี AD โฮมไดเร็กทอรีสำหรับบัญชี AD ควรถูกสร้างขึ้นโดยอัตโนมัติ

systemctl restart winbind
su - domain_account

15. แสดงรายการผู้ใช้โดเมนหรือกลุ่มโดเมนโดยใช้คำสั่งอย่างใดอย่างหนึ่งต่อไปนี้

wbinfo -u
wbinfo -g

16. หากต้องการรับข้อมูลเกี่ยวกับผู้ใช้โดเมน ให้รันคำสั่งด้านล่าง

wbinfo -i domain_user

17. หากต้องการแสดงข้อมูลโดเมนสรุป ให้ออกคำสั่งต่อไปนี้

net ads info

ขั้นตอนที่ 3: เข้าสู่ระบบ CentOS ด้วยบัญชี Samba4 AD DC

18. หากต้องการตรวจสอบสิทธิ์กับผู้ใช้โดเมนใน CentOS ให้ใช้ไวยากรณ์บรรทัดคำสั่งอย่างใดอย่างหนึ่งต่อไปนี้

su - ‘domain\domain_user’
su - domain\\domain_user

หรือใช้ไวยากรณ์ด้านล่างในกรณีที่ winbind ใช้โดเมนเริ่มต้น=พารามิเตอร์ true ถูกตั้งค่าเป็นไฟล์กำหนดค่า samba

su - domain_user
su - [email 

19. หากต้องการเพิ่มสิทธิ์รูทสำหรับผู้ใช้โดเมนหรือกลุ่ม ให้แก้ไขไฟล์ sudoers โดยใช้คำสั่ง visudo และเพิ่มบรรทัดต่อไปนี้ตามที่แสดงในภาพ ภาพหน้าจอด้านล่าง

YOUR_DOMAIN\\domain_username       		 ALL=(ALL:ALL) ALL  	#For domain users
%YOUR_DOMAIN\\your_domain\  group       	 ALL=(ALL:ALL) ALL	#For domain groups

หรือใช้ข้อความที่ตัดตอนมาด้านล่างในกรณีที่ winbind ใช้โดเมนเริ่มต้น=พารามิเตอร์ true ถูกตั้งค่าเป็นไฟล์กำหนดค่า samba

domain_username 	        	 ALL=(ALL:ALL) ALL  	#For domain users
%your_domain\  group       		 ALL=(ALL:ALL) ALL	#For domain groups

20. ชุดคำสั่งต่อไปนี้กับ Samba4 AD DC ยังมีประโยชน์สำหรับการแก้ไขปัญหาด้วย:

wbinfo -p #Ping domain
wbinfo -n domain_account #Get the SID of a domain account
wbinfo -t  #Check trust relationship

21. หากต้องการออกจากโดเมน ให้รันคำสั่งต่อไปนี้กับชื่อโดเมนของคุณโดยใช้บัญชีโดเมนที่มีสิทธิ์ระดับสูง หลังจากที่บัญชีเครื่องจักรถูกลบออกจาก AD ให้รีบูตเครื่องเพื่อคืนค่าการเปลี่ยนแปลงก่อนกระบวนการรวม

net ads leave -w DOMAIN -U domain_admin
init 6

นั่นคือทั้งหมด! แม้ว่าขั้นตอนนี้จะเน้นไปที่การเข้าร่วมเซิร์ฟเวอร์ CentOS 7 กับ Samba4 AD DC เป็นหลัก แต่ขั้นตอนเดียวกันที่อธิบายไว้ที่นี่ก็ใช้ได้กับการรวมเซิร์ฟเวอร์ CentOS เข้ากับ Microsoft Windows Server 2012 Active Directory เช่นกัน