导读 | 本文展示如何使用 realmd ,sssd将 Ubuntu 20.04加入到 Active Directory 域。 本文还进一步为通过 AD 登录的域用户配置 sudo 规则。 |
设置主机名和DNS
下面命令用来设置正确的主机名和dns服务器地址:
bpang@Ubuntu-1:~$ sudo hostnamectl set-hostname Ubuntu-1.pangzb.com
bpang@Ubuntu-1:~$ hostnamectl
![](https://img-blog.csdnimg.cn/img_convert/3833429012fea47a4b82a8e298021fa3.png)
配置可以和AD域控制器通信的DNS地址:
bpang@Ubuntu-1:~$ sudo vim /etc/netplan/00-installer-config.yaml
bpang@Ubuntu-1:~$ cat /etc/netplan/00-installer-config.yaml
# This is the network config written by 'subiquity'
network:
ethernets:
enp1s0:
dhcp4: false
addresses: [10.111.127.141/18]
gateway4: 10.111.127.254
nameservers:
addresses: [10.111.87.200]
version: 2
bpang@Ubuntu-1:~$ sudo netplan apply
![](https://img-blog.csdnimg.cn/img_convert/d0b7007d2d9e6053a62d3e0f430ef9d4.png)
可以使用resolvectl
查看当前的dns服务器地址:
bpang@Ubuntu-1:~$ resolvectl --no-pager | grep -i server
DNS Servers: 10.111.87.200
安装需要用到的软件包
如果想要加入AD域,在Linux中需要安装一些软件包才行:
bpang@Ubuntu-1:~$ sudo apt update -y
bpang@Ubuntu-1:~$ sudo apt -y install realmd libnss-sss libpam-sss sssd sssd-tools adcli samba-common-bin oddjob oddjob-mkhomedir packagekit
![](https://img-blog.csdnimg.cn/img_convert/d9245afade57c91d3b09e0e9959fa8ff.png)
发现域
realm discover
命令会显示完整的域配置和需要安装的软件包列表,只有安装了系统才能在域中注册。
bpang@Ubuntu-1:~$ sudo realm discover pangzb.com
pangzb.com
type: kerberos
realm-name: PANGZB.COM
domain-name: pangzb.com
configured: no
server-software: active-directory
client-software: sssd
required-package: sssd-tools
required-package: sssd
required-package: libnss-sss
required-package: libpam-sss
required-package: adcli
可以看到图中required-package
列出的软件包就是刚刚我们安装的。
![](https://img-blog.csdnimg.cn/img_convert/20b47d7d0942a0aee2ac8489766d2980.png)
将操作系统加入域中
使用realm join
命令将系统加入域中。realm join --help
可以看到相关帮助,里面有许多选项可供使用,下面使用-U
选项来指定域控管理员账号,然后输入密码:
bpang@Ubuntu-1:~$ sudo realm join -U administrator pangzb.com
Password for administrator:
查看是否成功加入域:
bpang@Ubuntu-1:~$ realm list
pangzb.com
type: kerberos
realm-name: PANGZB.COM
domain-name: pangzb.com
configured: kerberos-member
server-software: active-directory
client-software: sssd
required-package: sssd-tools
required-package: sssd
required-package: libnss-sss
required-package: libpam-sss
required-package: adcli
required-package: samba-common-bin
login-formats: %U@pangzb.com
login-policy: allow-realm-logins
可以看到加入域之后的相关信息了。
![](https://img-blog.csdnimg.cn/img_convert/dce876f1c21d3fa853e075d3388458a8.png)
在域控里面也可以看到该计算机了。
登录域用户来测试一下吧
下面通过切换至域用户测试一下:
bpang@Ubuntu-1:~$ su - user01@pangzb.com
Password:
su: warning: cannot change directory to /home/user01@pangzb.com: No such file or directory
user01@pangzb.com@Ubuntu-1:/home/bpang$ pwd
/home/bpang
![](https://img-blog.csdnimg.cn/img_convert/1cd363b269df89ab69f5c18cab57d187.png)
看到上面提示,发现域用户没有自动创建home目录,通过pwd
命令查看以下,用户当前不在自己的home目录。
下面使用pam-auth-update
来加载mkhomedir
模块。
bpang@Ubuntu-1:~$ sudo pam-auth-update
选中Create home directory on login
,点OK,更新之后,再次使用域用户登录,就可以自动创建目录了。
![](https://img-blog.csdnimg.cn/img_convert/07840edcb0c0138abafbfb6cdead54c8.png)
bpang@Ubuntu-1:~$ su - user02@pangzb.com
Password:
Creating directory '/home/user02@pangzb.com'.
![](https://img-blog.csdnimg.cn/img_convert/ddb5e837892521b500e5a77798f19cfa.png)
设置访问控制列表
可以通过realm工具自带的访问控制列表来禁止或允许用户和组的登录访问。
例如:拒绝user02@pangzb.com登录本机:
bpang@Ubuntu-1:~$ sudo realm deny user02@pangzb.com
如下图,登录时提示permission denied
![](https://img-blog.csdnimg.cn/img_convert/7d160642b5e8f6cd1d64dead16ac10a6.png)
允许用户组登录就是sudo realm permit -g 'Domain Users'
允许用户登录就是sudo realm permit Adinistrator
允许或拒绝所有用户登录:sudo realm permit --all
/ sudo realm deny --all
配置用户sudo访问
加入域之后重要的事情是限制域用户使用sudo命令提权。 这可以通过使用visudo
命令添加%domain^admins ALL=(ALL) ALL
来完成,这样只允许域管理员用户才能使用sudo命令:
bpang@Ubuntu-1:~$ sudo visudo
# 打开之后,在配置文件中添加如下行
%domain^admins ALL=(ALL) NOPASSWD: ALL
![](https://img-blog.csdnimg.cn/img_convert/fac3aefc032d1ae6d7b2fc52e9660d5f.png)
测试域用户SSH登录
通过域用户登录时,@和.
使用转义符转义一下。www.linuxprobe.com
bpang@Ubuntu-1:~$ ssh user01\@pangzb\.com@127.0.0.1
![](https://img-blog.csdnimg.cn/img_convert/a0d5829b67d72ae572c79c225fc06626.png)
总结
本文展示如何使用 realmd ,sssd将 Ubuntu 20.04加入到 Active Directory 域。 本文还进一步为通过 AD 登录的域用户配置 sudo 规则。
本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系:hwhale#tublm.com(使用前将#替换为@)