DataSunrise Consegue la Certificazione AWS DevOps Competency per AWS DevSecOps e Monitoraggio, Logging e Performance

Questo sito web utilizza cookie per raccogliere informazioni su come Lei interagisce con il nostro sito. Per saperne di più visiti la nostra Privacy Policy.

Integrazione di Ubuntu con il Dominio di Windows Active Directory

Integrazione di Ubuntu con il Dominio di Windows Active Directory

Introduzione

Integrare Ubuntu con Active Directory (AD) è una necessità comune in ambienti misti in cui sistemi Linux e Windows operano fianco a fianco. Se stai cercando di unire Ubuntu a un dominio Windows, sei nel posto giusto. Questa guida passo-passo ti accompagna in un’integrazione sicura utilizzando Samba, Kerberos, DNS e strumenti di supporto.

L’obiettivo è quello di consentire ai sistemi Ubuntu di autenticarsi contro Active Directory, proprio come i client Windows nativi. Questo semplifica il controllo centralizzato degli accessi e garantisce un’applicazione coerente delle politiche utente su tutta l’infrastruttura.

1. Specificare il nome del computer configurato nel file /etc/hostname

Visualizza il nome host attuale:

cat /etc/hostname

Se necessario, specifica un nuovo nome host:

echo myhost > /etc/hostname

Nota. Il nome host non può essere “localhost”, perché “localhost” è il nome associato a 127.0.0.1 (specificato nel file /etc/hosts al momento dell’installazione del sistema operativo).

2. Specificare il nome completo del domain controller nel file /etc/hosts

Aggiungi una registrazione statica con il nome completo del domain controller alla fine del file /etc/hosts. È necessaria la traduzione tra indirizzo IP e il nome del computer in modo da poter utilizzare il nome host anziché l’indirizzo IP.

echo 192.168.1.51 hostname.db.local hostname >> /etc/hosts

3. Impostare un server DNS sul computer configurato

Il domain controller dovrebbe essere la prima opzione per la ricerca. Aggiungi l’indirizzo IP del domain controller al file /etc/resolv.conf. Nella maggior parte delle distribuzioni resolv.conf viene generato automaticamente, quindi aggiungi l’indirizzo IP del domain controller al file /etc/resolvconf/resolv.conf.d/head.

sudo vim /etc/resolvconf/resolv.conf.d/head

Modifica il file aperto come segue:

domain domain.com
search domain.com
nameserver <indirizzo IP del domain controller>
nameserver 8.8.8.8

Riavvia il servizio di rete.

/etc/init.d/networking restart

Utilizza il comando nslookup per verificare.

nslookup www.google.com

4. Configurare la sincronizzazione dell’orario

L’orario di sistema sulla macchina deve essere sincronizzato con l’orario di sistema del server domain controller. Installa lo strumento ntp e modifica il file ntp.conf.

sudo apt-get install ntp
sudo vim /etc/ntp.conf

Modifica il file come segue:

server dc.domain.com

Riavvia il demone ntpd.

sudo /etc/init.d/ntp restart

5. Installare un client Kerberos

sudo apt-get install krb5-user libpam-krb5 libpam-ccreds auth-client-config

6. Installare Samba, Winbind e NTP

sudo apt-get install samba winbind ntp

7. Modificare il file /etc/krb5.conf per aggiungere il nome completo del dominio, il nome del domain controller e il parametro realm

Importante: Non lasciare commenti contrassegnati con il segno “#” nel file di configurazione.

[libdefaults]
    default_realm       =           DOMAIN.COM
    clockskew           =           300
    ticket_lifetime     =           1d
    forwardable         =           true
    proxiable           =           true
    dns_lookup_realm    =           true
    dns_lookup_kdc      =           true

[realms]
    DOMAIN.COM = {
    kdc            =       hostname.domain.com
    admin_server   =       hostname.domain.com
    default_domain =       DOMAIN.COM
    }

[domain_realm]
    .domain.com = DOMAIN.COM
    domain.com = DOMAIN.COM

[appdefaults]
    pam = {
    ticket_lifetime         = 1d
    renew_lifetime          = 1d
    forwardable             = true
    proxiable               = false
    retain_after_close      = false
    minimum_uid             = 0
    debug                   = false
    }

8. Modificare il file /etc/samba/smb.conf per aggiungere il nome breve del dominio e il nome completo del dominio:

Importante: Non lasciare commenti contrassegnati con il segno “#” nel file di configurazione.

[global]
   workgroup = DOMAIN
   realm = DOMAIN.COM
   security = ADS
   encrypt passwords = true
   socket options = TCP_NODELAY
   domain master = no
   local master = no
   preferred master = no
   os level = 0
   domain logons = 0
   server string = %h server (Samba, Ubuntu)
   dns proxy = no
   log file = /var/log/samba/log.%m
   max log size = 1000
   syslog = 0
   panic action = /usr/share/samba/panic-action %d
   server role = standalone server
   passdb backend = tdbsam
   obey pam restrictions = yes
   unix password sync = yes
   passwd program = /usr/bin/passwd %u
   passwd chat = *Enter\snew\s*\spassword:* %n\n *Retype\snew\s*\spassword:* %n\n *password\supdated\ssuccessfully* .
   pam password change = yes
   map to guest = bad user
   usershare allow guests = yes

Nota. Prima di utilizzare il file di configurazione, rimuovi le righe di commento.

9. Accedere al dominio:

net ads join -U Administrator

Dopo aver unito correttamente il dominio, sarai in grado di eseguire il ping dei nomi host di Active Directory, ad esempio:

ping johnny.domain.com

10. Verificare che l’autenticazione per un utente Active Directory sia avvenuta con successo:

kinit [email protected]

Nota: Digita il nome del dominio in lettere maiuscole.

Se tutto è stato configurato correttamente, il ticket verrà creato.

klist

E questo è tutto—ora hai collegato il tuo sistema Ubuntu ad Active Directory, abilitando un’autenticazione sicura tra la tua workstation Linux e il tuo ambiente di dominio Windows.

Vuoi estendere questa integrazione ai tuoi database? Dai un’occhiata alla nostra guida su Autenticazione Active Directory per MySQL.

Che tu stia gestendo un’infrastruttura ibrida o integrando Ubuntu per un controllo degli accessi centralizzato, DataSunrise supporta un’autenticazione sicura e conforme agli standard sia negli ambienti Linux che Windows.

Se la tua organizzazione gestisce dati sensibili o deve far fronte a requisiti di conformità in base a GDPR, SOX o HIPAA, DataSunrise offre una protezione completa grazie a un avanzato audit logging, a un potente enforcement della sicurezza e al data masking in tempo reale. Richiedi una demo per vedere come aiutiamo le organizzazioni a rimanere sicure e conformi.

Successivo

Authentication Proxy per DBaaS

Authentication Proxy per DBaaS

Scopri di più

Ha bisogno del nostro team di supporto?

I nostri esperti saranno lieti di rispondere alle Sue domande.

Informazioni generali:
[email protected]
Vendite:
[email protected]
Servizio clienti e supporto tecnico:
support.datasunrise.com
Richieste di collaborazione e alleanza:
[email protected]