要求:
第1步:初始配置加入Ubuntu到Samba4 AD
1.在开始将 Ubuntu主机加入 Active Directory DC之前,需要确保在本地机器上正确配置了一些服务。 机器的一个重要方面代表 主机名 。 在 hostnamectl命令的帮助下或通过手动编辑 / etc / hostname文件,在加入域之前设置正确的机器名。# hostnamectl set-hostname your_machine_short_name # cat /etc/hostname # hostnamectl
设置系统主机名
配置AD的网络设置
# systemctl restart networking.service # ping -c2 your_domain_name所需的最后一个重要配置由时间同步表示。通过发出以下命令,安装 ntpdate包,查询和与 AD DC的同步时间。
$ sudo apt-get install ntpdate $ sudo ntpdate -q your_domain_name $ sudo ntpdate your_domain_name
与AD的时间同步
$ sudo apt-get install samba krb5-config krb5-user winbind libpam-winbind libnss-winbind
在Ubuntu客户端中安装Samba4
添加AD域名
# kinit ad_admin_user # klist
使用AD检查Kerberos身份验证
第2步:加入Ubuntu到Samba4 AD DC
7.将Ubuntu机器集成到 Samba4 Active Directory域中的 第一步是编辑Samba配置文件。 备份由软件包管理器提供的Samba的默认配置文件,以便通过运行以下命令从干净的配置开始。# mv /etc/samba/smb.conf /etc/samba/smb.conf.initial # nano /etc/samba/smb.conf在新的Samba配置文件中添加以下行:
[global] workgroup = youcl realm = youcl.LAN netbios name = ubuntu security = ADS dns forwarder = 192.168.1.1 idmap config * : backend = tdb idmap config *:range = 50000-1000000 template homedir = /home/%D/%U template shell = /bin/bash winbind use default domain = true winbind offline logon = false winbind nss info = rfc2307 winbind enum users = yes winbind enum groups = yes vfs objects = acl_xattr map acl inherit = Yes store dos attributes = Yes
为AD配置Samba
$ sudo systemctl restart smbd nmbd winbind $ sudo systemctl stop samba-ad-dc $ sudo systemctl enable smbd nmbd winbind9.通过发出以下命令将Ubuntu计算机加入 Samba4 AD DC 。使用具有管理员权限的AD DC帐户的名称,以便绑定到域可按预期工作。
$ sudo net ads join -U ad_admin_user
加入Ubuntu到Samba4 AD DC
在Windows AD DC中确认Ubuntu客户端
第3步:配置AD帐户身份验证
11.为了对本地计算机上的AD帐户执行身份验证,您需要修改本地计算机上的一些服务和文件。 首先,打开并编辑 名称服务开关 ( NSS )配置文件。$ sudo nano /etc/nsswitch.conf下面为passwd和组行追加winbind值,如下面的摘录所示。
passwd: compat winbind group: compat winbind
配置AD帐户身份验证
$ wbinfo -u $ wbinfo -g
列出AD域帐户和组
$ sudo getent passwd| grep your_domain_user $ sudo getent group|grep 'domain admins'
检查AD域用户和组
[space]键检查所有条目,然后单击
确定以应用配置。
$ sudo pam-auth-update
使用域帐户验证Ubuntu
session required pam_mkhomedir.so skel=/etc/skel/ umask=0022
使用域帐户验证Debian
password [success=1 default=ignore] pam_winbind.so try_first_pass
允许更改密码的用户
$ su - your_ad_user
查找AD用户信息
$ sudo usermod -aG sudo your_domain_user使用域帐户登录到Ubuntu,并通过运行 apt-get update命令更新系统,以检查域用户是否具有root权限。
添加Sudo用户根组
%YOUR_DOMAIN\\your_domain\ group ALL=(ALL:ALL) ALL
将根权限添加到域组
(%)符号表示我们是指一个组,而不是用户名。
20.如果您正在运行Ubuntu的图形版本,并且您希望使用域用户登录系统,则需要通过编辑
/usr/share/lightdm/lightdm.conf.d/50-ubuntu来修改
LightDM显示管理器
.conf文件中,添加以下行并重新启动机器以反映更改。
greeter-show-manual-login=true greeter-hide-users=true现在应该可以使用 your_domain_username或 your_domain_username@your_domain.tld或 your_domain \ your_domain_username格式的域帐户在Ubuntu Desktop上执行登录。
