logo
Redian新闻
>公众号
>
Ubuntu 20.04 使用realmd加入AD域

Ubuntu 20.04 使用realmd加入AD域

科技

本文展示如何使用 realmd ,sssd将 Ubuntu 20.04加入到 Active Directory 域。本文还进一步为通过 AD 登录的域用户配置 sudo 规则。

设置主机名和DNS
下面命令用来设置正确的主机名和dns服务器地址:
bpang@Ubuntu-1:~$ sudo hostnamectl set-hostname Ubuntu-1.pangzb.com
bpang@Ubuntu-1:~$ hostnamectl


配置可以和AD域控制器通信的DNS地址:
bpang@Ubuntu-1:~$ sudo vim /etc/netplan/00-installer-config.yaml
bpang@Ubuntu-1:~$ cat /etc/netplan/00-installer-config.yaml
# This is the network config written by 'subiquity'
network:
  ethernets:
    enp1s0:
      dhcp4: false
      addresses: [10.111.127.141/18]
      gateway4: 10.111.127.254
      nameservers:
        addresses: [10.111.87.200]
  version: 2
bpang@Ubuntu-1:~$ sudo netplan apply


可以使用resolvectl查看当前的dns服务器地址:
bpang@Ubuntu-1:~$ resolvectl --no-pager | grep -i server
         DNS Servers: 10.111.87.200

安装需要用到的软件包
如果想要加入AD域,在Linux中需要安装一些软件包才行:
bpang@Ubuntu-1:~$ sudo apt update -y
bpang@Ubuntu-1:~$ sudo apt -y install realmd libnss-sss libpam-sss sssd sssd-tools adcli samba-common-bin oddjob oddjob-mkhomedir packagekit


发现域
realm discover 命令会显示完整的域配置和需要安装的软件包列表,只有安装了系统才能在域中注册。
bpang@Ubuntu-1:~$ sudo realm discover pangzb.com
pangzb.com
  type: kerberos
  realm-name: PANGZB.COM
  domain-name: pangzb.com
  configured: no
  server-software: active-directory
  client-software: sssd
  required-package: sssd-tools
  required-package: sssd
  required-package: libnss-sss
  required-package: libpam-sss
  required-package: adcli
可以看到图中required-package列出的软件包就是刚刚我们安装的。


将操作系统加入域中
使用realm join命令将系统加入域中。realm join --help可以看到相关帮助,里面有许多选项可供使用,下面使用-U选项来指定域控管理员账号,然后输入密码:
bpang@Ubuntu-1:~$ sudo realm join -U administrator pangzb.com
Password for administrator:
查看是否成功加入域:
bpang@Ubuntu-1:~$ realm list
pangzb.com
  type: kerberos
  realm-name: PANGZB.COM
  domain-name: pangzb.com
  configured: kerberos-member
  server-software: active-directory
  client-software: sssd
  required-package: sssd-tools
  required-package: sssd
  required-package: libnss-sss
  required-package: libpam-sss
  required-package: adcli
  required-package: samba-common-bin
  login-formats: %[email protected]
  login-policy: allow-realm-logins
可以看到加入域之后的相关信息了。


在域控里面也可以看到该计算机了。


登录域用户来测试一下吧
下面通过切换至域用户测试一下:
bpang@Ubuntu-1:~$ su - [email protected]
Password:
su: warning: cannot change directory to /home/[email protected]: No such file or directory
[email protected]@Ubuntu-1:/home/bpang$ pwd
/home/bpang


看到上面提示,发现域用户没有自动创建home目录,通过pwd命令查看以下,用户当前不在自己的home目录。
下面使用pam-auth-update来加载mkhomedir模块。
bpang@Ubuntu-1:~$ sudo pam-auth-update
选中Create home directory on login,点OK,更新之后,再次使用域用户登录,就可以自动创建目录了。

bpang@Ubuntu-1:~$ su - [email protected]
Password:
Creating directory '/home/[email protected]'.


设置访问控制列表
可以通过realm工具自带的访问控制列表来禁止或允许用户和组的登录访问。
例如:拒绝[email protected]登录本机:
bpang@Ubuntu-1:~$ sudo realm deny [email protected]
如下图,登录时提示permission denied


允许用户组登录就是sudo realm permit -g 'Domain Users'
允许用户登录就是sudo realm permit Adinistrator
允许或拒绝所有用户登录:sudo realm permit --all / sudo realm deny --all
配置用户sudo访问
加入域之后重要的事情是限制域用户使用sudo命令提权。这可以通过使用visudo命令添加%domain^admins ALL=(ALL) ALL来完成,这样只允许域管理员用户才能使用sudo命令:
bpang@Ubuntu-1:~$ sudo visudo
# 打开之后,在配置文件中添加如下行
%domain^admins ALL=(ALL) NOPASSWD: ALL


测试域用户SSH登录
通过域用户登录时,@和.使用转义符转义一下。
bpang@Ubuntu-1:~$ ssh user01\@pangzb\[email protected]


总结
本文展示如何使用 realmd ,sssd将 Ubuntu 20.04加入到 Active Directory 域。本文还进一步为通过 AD 登录的域用户配置 sudo 规则。

END

官方站点:www.linuxprobe.com

Linux命令大全:www.linuxcool.com

刘遄老师QQ:5604215

Linux技术交流群:3861509

(新群,火热加群中……)

想要学习Linux系统的读者可以点击"阅读原文"按钮来了解书籍《Linux就该这么学》,同时也非常适合专业的运维人员阅读,成为辅助您工作的高价值工具书!


微信扫码关注该文公众号作者

戳这里提交新闻线索和高质量文章给我们。
来源: qq
点击查看作者最近其他文章
相关阅读
Ubuntu 23.10 公布代号:“Mantic Minotaur” | Linux 中国在 Ubuntu 上安装和使用 Qemu | Linux 中国如何在 Ubuntu 22.04 / 20.04 上配置 FreeIPA 客户端 | Linux 中国Kubuntu 23.04 来了! | Linux 中国比 Ubuntu 更好?Ubuntu 爱好者的 11 款最佳 Linux 发行版 | Linux 中国Ubuntu 23.04性能大幅下滑Ubuntu 23.10 改用神话生物命名,代号敲定 Mantic Minotaur𝐂𝐚𝐥𝐧𝐢𝐊𝐞𝐚𝐧双皮奶内衣裤,软弹有度,上身0束缚~如何在 Ubuntu 22.04 上安装 CRI-O 容器运行时 | Linux 中国震惊!使用RNN就能达到超越GPT的对话效果!甚至超越LLaMA? Github已近万star终于!Ubuntu下水 “ 不可变 ” !Ubuntu Cinnamon 正式成为 Ubuntu 官方风味版 | Linux 中国在 Ubuntu、Linux Mint 和 Windows 中升级到最新的 LibreOffice | Linux 中国贼喊捉贼式的新疆指控,让人出离愤怒Voyager Linux 23.04:具有华丽外观且无 Snap 的 Ubuntu 体验 | Linux 中国弃 Ubuntu 转 Manjaro 一周后的使用体验 | Linux 中国Xubuntu 23.04 的最佳新功能 | Linux 中国Ubuntu 23.04 发布:新安装程序、新风味版和 GNOME 44 | Linux 中国硬核观察 #1019 Ubuntu 将发布纯 Snap 版的不可变 LinuxUbuntu MATE 23.04:最佳功能和更新 | Linux 中国如何在 Ubuntu 和其他 Linux 发行版中查看 AVIF 图像 | Linux 中国前哨速览:硅谷风投需要适应新周期?AMD加入AI算力市场竞争又见桐花开Ubuntu 18.04 即将停止更新,你该怎么办? | Linux 中国如何在 Ubuntu 22.04 中安装和使用 Wireshark | Linux 中国遥思龙泉桃花宴Ubuntu 23.10 路线图公布:正式版预估 10 月 12 日发布,支持 9 个月Ubuntu 23.04新特性一览我和聊天机器人(AI)对话Belmont公私校大对比:Belmont Hill vs Belmont HighUbuntu 23.04 系统开放下载:Linux 6.2 内核、GNOME 44 桌面环境Ubuntu将推出基于Snap的“不可变”桌面版冷却的不止季节(41)— 丧葬费【𝐂𝐚𝐥𝐧𝐢𝐊𝐞𝐚𝐧双皮奶无痕内裤】49元三条!巨巨巨好穿 !!简直就是辣妹顶配,食品级冰箱收纳盒【一日团】Ubuntu 23.04 “Lunar Lobster” 的最佳新功能 | Linux 中国
logo
联系我们隐私协议©2024 redian.news
Redian新闻
Redian.news刊载任何文章,不代表同意其说法或描述,仅为提供更多信息,也不构成任何建议。文章信息的合法性及真实性由其作者负责,与Redian.news及其运营公司无关。欢迎投稿,如发现稿件侵权,或作者不愿在本网发表文章,请版权拥有者通知本网处理。