Integrare Ubuntu con il Dominio Windows Active Directory
Introduzione
Se sta cercando un modo per aggiungere Ubuntu ad AD (Active Directory), non è il solo. Integrare una workstation Ubuntu con Windows AD è un’esigenza comune in ambienti misti nei quali coesistono sistemi Linux e Windows. Questa guida passo per passo spiega come collegare Ubuntu in modo sicuro a un dominio Windows utilizzando Samba, Kerberos, DNS e altro ancora.
L’obiettivo di questo tutorial è aiutarLa ad aggiungere Ubuntu ad AD con successo, affinché i Suoi sistemi Linux possano autenticarsi con Active Directory proprio come le macchine Windows. Ciò migliora la gestione centralizzata degli accessi e applica politiche utente coerenti in tutta la Sua infrastruttura.
1. Specificare il nome del computer configurato nel file /etc/hostname
Verificare il nome host attuale:
cat /etc/hostname
Se necessario, specificare un nuovo nome host:
echo myhost > /etc/hostname
Nota. Il nome host non può essere “localhost”, poiché “localhost” è il nome associato a 127.0.0.1 (specificato nel file /etc/hosts durante l’installazione del sistema operativo).
2. Specificare il nome completo del domain controller nel file /etc/hosts
Aggiungere una voce statica con il nome completo del domain controller alla fine del file /etc/hosts. È necessaria la traduzione tra l’indirizzo IP e il nome del computer affinché si possa utilizzare il nome host anziché l’indirizzo IP.
echo 192.168.1.51 hostname.db.local hostname >> /etc/hosts
3. Configurare un server DNS sul computer configurato
Il domain controller dovrebbe essere la prima opzione per la ricerca. Aggiungere l’indirizzo IP del domain controller a /etc/resolv.conf. In molte distribuzioni il file resolv.conf viene generato automaticamente, pertanto aggiungere l’indirizzo IP del domain controller in /etc/resolvconf/resolv.conf.d/head.
sudo vim /etc/resolvconf/resolv.conf.d/head
Modificare il file aperto come segue:
domain domain.com search domain.com nameservernameserver 8.8.8.8
Riavviare il servizio di rete.
/etc/init.d/networking restart
Utilizzare il comando nslookup per verificare.
nslookup www.google.com
4. Configurare la sincronizzazione dell’orario
L’orario del sistema sulla macchina deve essere sincronizzato con quello del server del domain controller. Installare lo strumento ntp e modificare il file ntp.conf.
sudo apt-get install ntp sudo vim /etc/ntp.conf
Modificare il file come segue:
server dc.domain.com
Riavviare il demone ntpd.
sudo /etc/init.d/ntp restart
5. Installare un client Kerberos
sudo apt-get install krb5-user libpam-krb5 libpam-ccreds auth-client-config
6. Installare Samba, Winbind e NTP
sudo apt-get install samba winbind ntp
7. Modificare il file /etc/krb5.conf per aggiungere il nome completo del dominio, il nome del domain controller e il parametro realm
Importante: Non lasciare commenti contrassegnati con il segno “#” nel file di configurazione.
[libdefaults]
default_realm = DOMAIN.COM
clockskew = 300
ticket_lifetime = 1d
forwardable = true
proxiable = true
dns_lookup_realm = true
dns_lookup_kdc = true
[realms]
DOMAIN.COM = {
kdc = hostname.domain.com
admin_server = hostname.domain.com
default_domain = DOMAIN.COM
}
[domain_realm]
.domain.com = DOMAIN.COM
domain.com = DOMAIN.COM
[appdefaults]
pam = {
ticket_lifetime = 1d
renew_lifetime = 1d
forwardable = true
proxiable = false
retain_after_close = false
minimum_uid = 0
debug = false
}
8. Modificare il file /etc/samba/smb.conf per aggiungere il nome breve del dominio e il nome completo del dominio:
Importante: Non lasciare commenti contrassegnati con il segno “#” nel file di configurazione.
[global] workgroup = DOMAIN realm = DOMAIN.COM security = ADS encrypt passwords = true socket options = TCP_NODELAY domain master = no local master = no preferred master = no os level = 0 domain logons = 0 server string = %h server (Samba, Ubuntu) dns proxy = no log file = /var/log/samba/log.%m max log size = 1000 syslog = 0 panic action = /usr/share/samba/panic-action %d server role = standalone server passdb backend = tdbsam obey pam restrictions = yes unix password sync = yes passwd program = /usr/bin/passwd %u passwd chat = *Enter\snew\s*\spassword:* %n\n *Retype\snew\s*\spassword:* %n\n *password\supdated\ssuccessfully* . pam password change = yes map to guest = bad user usershare allow guests = yes
Nota. Prima di utilizzare il file di configurazione, rimuovere le linee di commento.
9. Unirsi al dominio:
net ads join -U Administrator
Dopo aver unito con successo il dominio, sarà in grado di pingare i nomi host di Active Directory, ad esempio:
ping johnny.domain.com
10. Verificare che l’autenticazione per un utente di Active Directory abbia esito positivo:
kinit [email protected]
Nota: Digitare il nome del dominio in lettere maiuscole.
Se tutto è stato configurato correttamente, il ticket verrà creato.
klist
Ed ecco qui — un processo riuscito per aggiungere Ubuntu ad AD e consentire un’autenticazione sicura con Windows Active Directory dalla Sua workstation Linux.
Si prega di fare riferimento a Active Directory Authentication for MySQL Database se necessita di ulteriori informazioni.
Sia che Lei gestisca un ambiente ibrido, sia che desideri semplicemente aggiungere Ubuntu ad AD per un migliore controllo degli accessi, i nostri strumenti supportano configurazioni di autenticazione sicure e conformi in tutta la infrastruttura.
Il Suo database contiene informazioni sensibili che richiedono protezione? Ha necessità di conformarsi a normative quali GDPR, SOX o HIPAA? Esplori la soluzione completa di DataSunrise per l’audit del database, la sicurezza nel database e il mascheramento dei dati. Provi la nostra versione di prova gratuita oppure prenoti una demo online per vedere come possiamo proteggere i Suoi dati e garantire la conformità alle normative.
