A realm egy parancssoros eszköz, amellyel ActiveDirectory-hoz lehet csatlakoztatni a kienst.
A példánkban a WindowsServer2012r2-őt használom. Telepített szerepkörök: AD, DNS, DHCP, útválasztás, hogy legyen internet hozzáférés a belső hálózaton az Ubuntunak. Tartomány neve: szeptember.local, szerver ip címe: 192.168.1.1, DNS: 192.168.1.1
Tartományi felhasználók: rendszergazda, superman
Első lépésként frissítsük az Ubuntu csomagjait:
sudo apt -y update
Adjuk hozzá a következő repositorykat a source.list fájlhoz:
(vagy sima nano editorral…)
sudo tee -a /etc/apt/sources.list <<EOF
deb http://us.archive.ubuntu.com/ubuntu/ bionic universe
deb http://us.archive.ubuntu.com/ubuntu/ bionic-updates universe
Kliens nevének beállítása:
sudo hostnamectl set-hostname client.example.com
Ebben a példában akkor ez így néz ki:
sudo hostnamectl set-hostname ubuntupc.szeptember.local
Ellenőrzése: hostnamectl paranccsal
DNS beállítások ellenőrzése:
$ cat /etc/resolv.conf
Az Ubuntu 18, 20-ban a systemd-resolve folyamatot ki kell kapcsolni, hogy a tartomány dns kiszolgálóját direktben elérjük. Ha utána nem lesz internet a kliensen, akkor a resolv.conf fájl tartalmát kell pótolni/javítani.
sudo nano /etc/resolv.conf
ide beírni a nameserver-hez a DNS szerver ip címét
(Ezt a lépést célszerű a csomagok telepítése után végrehajtani!)
sudo systemctl disable systemd-resolved
sudo systemctl stop systemd-resolved
Csomagok feltelepítése a tartományba léptetéshez
sudo apt update
sudo apt -y install realmd libnss-sss libpam-sss sssd sssd-tools adcli samba-common-bin oddjob oddjob-mkhomedir packagekit
A tartomány adatainak lekérdezése
$ sudo realm discover szeptember.local
Csatlakozás a tartományhoz
A számítógép tartományba való léptetéséhez egy tartományi felhasználó szükséges a szerveren. Az ő adataival tudjuk az Ubuntut beléptetni a tartományunkba.
$ sudo realm join -U username domain
Tehát:
$ sudo realm join -U rendszergazda szeptember.local
Állapot lekérdezése:
$ realm list
Home könyvtár automatiks hozzáadása AD felhasználóknak:
sudo bash -c "cat > /usr/share/pam-configs/mkhomedir" <<EOF
Name: activate mkhomedir
Default: yes
Priority: 900
Session-Type: Additional
Session:
required pam_mkhomedir.so umask=0022 skel=/etc/skel
Aktiválása:
sudo pam-auth-update
Az sssd.conf config fájl helye: /etc/sssd/sssd.conf. Ha ezt módosítjuk, akkor a szolgáltatást újra kell indítani. Állapotát is lekérhetjük, nyilván akkor jó, ha running.
sudo systemctl restart sssd
$ systemctl status sssd
Ha sikerült a tartományba léptetés, akkor az id paranccsal lekérhetőek a tartományi felhasználók adatai. pl: id rendszergazda@szeptember.local Nálam a pélában van ilyen nevű fiók az Ubuntun is, így annak a felhasználónak az adati lekérhetőek. Superman viszont csak tartományi felhasználóként létezik
Felhasználói hozzáférés enegélyezése
$ realm permit user1@example.com
Összes felhasználó:
$ sudo realm permit --all
Összes felhasználó tiltása:
$ sudo realm deny --all
Csoportok engedélyezése:
$ realm permit -g sysadmins
$ realm permit -g 'Security Users'
$ realm permit 'Domain Users' 'admin users'
Ezek az adatok az sssd.conf fájlbe kerülnek mentésre, tehát ilyenkor kell a sudo systemctl restart sssd
sudo hozzáférés engedélyezése a tartományi felhasználóknak:
Létrehozzuk a hozzáférést szabályozó fájlt:
$ sudo nano /etc/sudoers.d/domain_admins
Felhasználók hozzáadása:
user1@example.com ALL=(ALL) ALL
user2@example.com ALL=(ALL) ALL
Csoport hozzáadása:
%group1@example.com ALL=(ALL) ALL
Több csoport hozzáadása:
%security\ users@example.com ALL=(ALL) ALL
%system\ super\ admins@example.com ALL=(ALL) ALL
SSH hozzáférés tesztelése
Ehhez szükség lesz az SSH telepítésére is:
sudo apt-get install openssh-server openssh-client
Teszteléshez:
$ ssh rendszergaza@szeptember.local
Belépés tartományi felhasználóként:
azt az opciót kell kiválasztani, hogy ‘nincs a listán’, majd felhasználónév@szerver formátumban megadani a felhasználói nevet: rendszergazda@szeptember.local
