ഉബുണ്ടു 16.04 മുതൽ എഡി വരെ സാംബ, വിൻബൈൻഡ് എന്നിവയുമായി ഒരു ഡൊമെയ്ൻ അംഗമായി സംയോജിപ്പിക്കുക - ഭാഗം 8

ഫയലുകൾക്കും ഡയറക്uടറികൾക്കുമായി ലോക്കൽ ACL ഉപയോഗിച്ച് AD അക്കൗണ്ടുകൾ പ്രാമാണീകരിക്കുന്നതിനോ ഡൊമെയ്uൻ കൺട്രോളർ ഉപയോക്താക്കൾക്കായി വോളിയം ഷെയറുകൾ സൃഷ്uടിക്കാനും മാപ്പ് ചെയ്യാനും (ഫയൽ സെർവറായി പ്രവർത്തിക്കുക) ഒരു ഉബുണ്ടു മെഷീനെ ഒരു Samba4 ആക്റ്റീവ് ഡയറക്uടറി ഡൊമെയ്uനിലേക്ക് എങ്ങനെ ചേർക്കാമെന്ന് ഈ ട്യൂട്ടോറിയൽ വിവരിക്കുന്നു.

ഉബുണ്ടുവിൽ Samba4 ഉപയോഗിച്ച് ഒരു സജീവ ഡയറക്ടറി ഇൻഫ്രാസ്ട്രക്ചർ സൃഷ്ടിക്കുക

ഘട്ടം 1: ഉബുണ്ടുവിൽ നിന്ന് Samba4 എഡിയിലേക്ക് ചേരുന്നതിനുള്ള പ്രാരംഭ കോൺഫിഗറേഷനുകൾ

1. ഒരു ഉബുണ്ടു ഹോസ്റ്റിൽ ഒരു ആക്ടീവ് ഡയറക്ടറി ഡിസിയിൽ ചേരാൻ തുടങ്ങുന്നതിന് മുമ്പ്, ലോക്കൽ മെഷീനിൽ ചില സേവനങ്ങൾ ശരിയായി ക്രമീകരിച്ചിട്ടുണ്ടെന്ന് നിങ്ങൾ ഉറപ്പാക്കേണ്ടതുണ്ട്.

നിങ്ങളുടെ മെഷീന്റെ ഒരു പ്രധാന വശം ഹോസ്റ്റ് നാമത്തെ പ്രതിനിധീകരിക്കുന്നു. hostnamectl കമാൻഡിന്റെ സഹായത്തോടെയോ /etc/hostname ഫയൽ സ്വമേധയാ എഡിറ്റ് ചെയ്തോ ഡൊമെയ്uനിൽ ചേരുന്നതിന് മുമ്പ് ശരിയായ മെഷീൻ നാമം സജ്ജമാക്കുക.

# hostnamectl set-hostname your_machine_short_name
# cat /etc/hostname
# hostnamectl

2. അടുത്ത ഘട്ടത്തിൽ, ശരിയായ ഐപി കോൺഫിഗറേഷനുകൾ ഉപയോഗിച്ച് നിങ്ങളുടെ മെഷീൻ നെറ്റ്uവർക്ക് ക്രമീകരണങ്ങൾ തുറന്ന് സ്വമേധയാ എഡിറ്റ് ചെയ്യുക. ഇവിടെയുള്ള ഏറ്റവും പ്രധാനപ്പെട്ട ക്രമീകരണങ്ങൾ നിങ്ങളുടെ ഡൊമെയ്ൻ കൺട്രോളറിലേക്ക് ചൂണ്ടിക്കാണിക്കുന്ന DNS IP വിലാസങ്ങളാണ്.

/etc/network/interfaces ഫയൽ എഡിറ്റ് ചെയ്യുക, താഴെയുള്ള സ്ക്രീൻഷോട്ടിൽ ചിത്രീകരിച്ചിരിക്കുന്നതുപോലെ നിങ്ങളുടെ ശരിയായ എഡി ഐപി വിലാസങ്ങളും ഡൊമെയ്ൻ നാമവും ഉപയോഗിച്ച് dns-nameservers പ്രസ്താവന ചേർക്കുക.

കൂടാതെ, അതേ DNS IP വിലാസങ്ങളും ഡൊമെയ്ൻ നാമവും /etc/resolv.conf ഫയലിലേക്ക് ചേർത്തിട്ടുണ്ടെന്ന് ഉറപ്പാക്കുക.

മുകളിലെ സ്uക്രീൻഷോട്ടിൽ, 192.168.1.254, 192.168.1.253 എന്നിവ Samba4 AD DC-യുടെ IP വിലാസങ്ങളാണ്, Tecmint.lan എന്നത് എഡി ഡൊമെയ്uനിന്റെ പേര് പ്രതിനിധീകരിക്കുന്നു, അത് എല്ലാ മെഷീനുകളും മണ്ഡലത്തിലേക്ക് സംയോജിപ്പിച്ച് അന്വേഷിക്കും.

3. പുതിയ നെറ്റ്uവർക്ക് കോൺഫിഗറേഷനുകൾ പ്രയോഗിക്കുന്നതിന് നെറ്റ്uവർക്ക് സേവനങ്ങൾ പുനരാരംഭിക്കുക അല്ലെങ്കിൽ മെഷീൻ റീബൂട്ട് ചെയ്യുക. DNS റെസല്യൂഷൻ പ്രതീക്ഷിച്ചതുപോലെ പ്രവർത്തിക്കുന്നുണ്ടോയെന്ന് പരിശോധിക്കാൻ നിങ്ങളുടെ ഡൊമെയ്ൻ നാമത്തിനെതിരെ ഒരു പിംഗ് കമാൻഡ് നൽകുക.

AD DC അതിന്റെ FQDN ഉപയോഗിച്ച് വീണ്ടും പ്ലേ ചെയ്യണം. നിങ്ങളുടെ LAN ഹോസ്റ്റുകൾക്കായി സ്വയമേവ IP ക്രമീകരണങ്ങൾ നൽകുന്നതിനായി നിങ്ങളുടെ നെറ്റ്uവർക്കിൽ ഒരു DHCP സെർവർ ക്രമീകരിച്ചിട്ടുണ്ടെങ്കിൽ, DHCP സെർവർ DNS കോൺഫിഗറേഷനുകളിലേക്ക് AD DC IP വിലാസങ്ങൾ ചേർത്തിട്ടുണ്ടെന്ന് ഉറപ്പാക്കുക.

# systemctl restart networking.service
# ping -c2 your_domain_name

4. ആവശ്യമായ അവസാനത്തെ പ്രധാനപ്പെട്ട കോൺഫിഗറേഷൻ സമയ സമന്വയത്താൽ പ്രതിനിധീകരിക്കുന്നു. ചുവടെയുള്ള കമാൻഡുകൾ നൽകി ntpdate പാക്കേജ് ഇൻസ്റ്റാൾ ചെയ്യുക, AD DC-യുമായി അന്വേഷണം നടത്തുക, സമയം സമന്വയിപ്പിക്കുക.

$ sudo apt-get install ntpdate
$ sudo ntpdate -q your_domain_name
$ sudo ntpdate your_domain_name

5. അടുത്ത ഘട്ടത്തിൽ താഴെ പറയുന്ന കമാൻഡ് പ്രവർത്തിപ്പിച്ച് ഡൊമെയ്uനിലേക്ക് പൂർണ്ണമായി സംയോജിപ്പിക്കുന്നതിന് ഉബുണ്ടു മെഷീന് ആവശ്യമായ സോഫ്റ്റ്uവെയർ ഇൻസ്റ്റാൾ ചെയ്യുക.

$ sudo apt-get install samba krb5-config krb5-user winbind libpam-winbind libnss-winbind

Kerberos പാക്കേജുകൾ ഇൻസ്റ്റാൾ ചെയ്യുമ്പോൾ, നിങ്ങളുടെ സ്ഥിരസ്ഥിതി മണ്ഡലത്തിന്റെ പേര് നൽകാൻ നിങ്ങളോട് ആവശ്യപ്പെടണം. ഇൻസ്റ്റാളേഷൻ തുടരാൻ നിങ്ങളുടെ ഡൊമെയ്uനിന്റെ പേര് വലിയക്ഷരങ്ങൾ ഉപയോഗിച്ച് എന്റർ കീ അമർത്തുക.

6. എല്ലാ പാക്കേജുകളും ഇൻസ്റ്റാളുചെയ്യൽ പൂർത്തിയാക്കിയ ശേഷം, ഒരു എഡി അഡ്മിനിസ്ട്രേറ്റീവ് അക്കൌണ്ടിനെതിരെ കെർബറോസ് ആധികാരികത പരിശോധിക്കുകയും താഴെയുള്ള കമാൻഡുകൾ നൽകി ടിക്കറ്റ് ലിസ്റ്റ് ചെയ്യുകയും ചെയ്യുക.

# kinit ad_admin_user
# klist

ഘട്ടം 2: ഉബുണ്ടുവിൽ സാംബ4 എഡി ഡിസിയിൽ ചേരുക

7. Samba4 ആക്റ്റീവ് ഡയറക്uടറി ഡൊമെയ്uനിലേക്ക് ഉബുണ്ടു മെഷീൻ സംയോജിപ്പിക്കുന്നതിനുള്ള ആദ്യ പടി Samba കോൺഫിഗറേഷൻ ഫയൽ എഡിറ്റ് ചെയ്യുക എന്നതാണ്.

ഇനിപ്പറയുന്ന കമാൻഡുകൾ പ്രവർത്തിപ്പിച്ച് ഒരു ക്ലീൻ കോൺഫിഗറേഷനിൽ ആരംഭിക്കുന്നതിന്, പാക്കേജ് മാനേജർ നൽകുന്ന സാംബയുടെ ഡിഫോൾട്ട് കോൺഫിഗറേഷൻ ഫയൽ ബാക്കപ്പ് ചെയ്യുക.

# mv /etc/samba/smb.conf /etc/samba/smb.conf.initial
# nano /etc/samba/smb.conf

പുതിയ സാംബ കോൺഫിഗറേഷൻ ഫയലിൽ താഴെയുള്ള വരികൾ ചേർക്കുക:

[global]
        workgroup = TECMINT
        realm = TECMINT.LAN
        netbios name = ubuntu
        security = ADS
        dns forwarder = 192.168.1.1

idmap config * : backend = tdb        
idmap config *:range = 50000-1000000
	
   template homedir = /home/%D/%U
   template shell = /bin/bash
   winbind use default domain = true
   winbind offline logon = false
   winbind nss info = rfc2307
   winbind enum users = yes
   winbind enum groups = yes

  vfs objects = acl_xattr
  map acl inherit = Yes
  store dos attributes = Yes

നിങ്ങളുടെ സ്വന്തം ഇഷ്uടാനുസൃത ക്രമീകരണങ്ങൾ ഉപയോഗിച്ച് വർക്ക് ഗ്രൂപ്പ്, റിയൽ, നെറ്റ്ബിയോസ് നാമം, ഡിഎൻഎസ് ഫോർവേഡർ വേരിയബിളുകൾ എന്നിവ മാറ്റിസ്ഥാപിക്കുക.

winbind ഉപയോഗത്തിന്റെ ഡിഫോൾട്ട് ഡൊമെയ്uൻ പാരാമീറ്റർ, ഏതെങ്കിലും യോഗ്യതയില്ലാത്ത AD ഉപയോക്തൃനാമങ്ങളെ AD-യുടെ ഉപയോക്താക്കളായി കണക്കാക്കുന്നതിന് winbind സേവനത്തിന് കാരണമാകുന്നു. എഡി അക്കൗണ്ടുകൾ ഓവർലാപ്പ് ചെയ്യുന്ന പ്രാദേശിക സിസ്റ്റം അക്കൗണ്ടുകളുടെ പേരുകൾ നിങ്ങൾക്കുണ്ടെങ്കിൽ ഈ പരാമീറ്റർ നിങ്ങൾ ഒഴിവാക്കണം.

8. ഇപ്പോൾ നിങ്ങൾ എല്ലാ സാംബ ഡെമണുകളും പുനരാരംഭിക്കുകയും അനാവശ്യ സേവനങ്ങൾ നിർത്തുകയും നീക്കം ചെയ്യുകയും വേണം, താഴെ പറയുന്ന കമാൻഡുകൾ നൽകി സാംബ സേവനങ്ങൾ സിസ്റ്റം-വൈഡ് പ്രവർത്തനക്ഷമമാക്കുക.

$ sudo systemctl restart smbd nmbd winbind
$ sudo systemctl stop samba-ad-dc
$ sudo systemctl enable smbd nmbd winbind

9. താഴെ പറയുന്ന കമാൻഡ് നൽകി ഉബുണ്ടു മെഷീനിൽ Samba4 AD DC-യിൽ ചേരുക. മണ്ഡലത്തിലേക്കുള്ള ബൈൻഡിംഗ് പ്രതീക്ഷിച്ചതുപോലെ പ്രവർത്തിക്കുന്നതിന് അഡ്മിനിസ്ട്രേറ്റർ പ്രത്യേകാവകാശങ്ങളുള്ള ഒരു AD DC അക്കൗണ്ടിന്റെ പേര് ഉപയോഗിക്കുക.

$ sudo net ads join -U ad_admin_user

10. RSAT ടൂളുകൾ ഇൻസ്റ്റാൾ ചെയ്തിട്ടുള്ള ഒരു വിൻഡോസ് മെഷീനിൽ നിന്ന് നിങ്ങൾക്ക് AD UC തുറന്ന് കമ്പ്യൂട്ടർ കണ്ടെയ്uനറിലേക്ക് നാവിഗേറ്റ് ചെയ്യാം. ഇവിടെ, നിങ്ങളുടെ ഉബുണ്ടു ജോയിൻ ചെയ്ത മെഷീൻ ലിസ്റ്റ് ചെയ്യണം.

ഘട്ടം 3: AD അക്കൗണ്ട് പ്രാമാണീകരണം കോൺഫിഗർ ചെയ്യുക

11. ലോക്കൽ മെഷീനിൽ എഡി അക്കൗണ്ടുകൾക്കായി പ്രാമാണീകരണം നടത്തുന്നതിന്, ലോക്കൽ മെഷീനിലെ ചില സേവനങ്ങളും ഫയലുകളും നിങ്ങൾ പരിഷ്uക്കരിക്കേണ്ടതുണ്ട്.

ആദ്യം, നെയിം സർവീസ് സ്വിച്ച് (എൻഎസ്എസ്) കോൺഫിഗറേഷൻ ഫയൽ തുറന്ന് എഡിറ്റ് ചെയ്യുക.

$ sudo nano /etc/nsswitch.conf

ചുവടെയുള്ള ഉദ്ധരണിയിൽ ചിത്രീകരിച്ചിരിക്കുന്നതുപോലെ പാസ്uഡബ്ല്യുഡിക്കും ഗ്രൂപ്പ് ലൈനുകൾക്കുമായി വിൻബൈൻഡ് മൂല്യം അടുത്തതായി കൂട്ടിച്ചേർക്കുക.

passwd:         compat winbind
group:          compat winbind

12. ഡൊമെയ്ൻ അക്കൗണ്ടുകളും ഗ്രൂപ്പുകളും ലിസ്റ്റുചെയ്യുന്നതിന് ഉബുണ്ടു മെഷീൻ റിയൽ റൺ wbinfo കമാൻഡുമായി വിജയകരമായി സംയോജിപ്പിച്ചിട്ടുണ്ടോ എന്ന് പരിശോധിക്കുന്നതിന്.

$ wbinfo -u
$ wbinfo -g

13. കൂടാതെ, ഗെറ്റന്റ് കമാൻഡ് നൽകി Winbind nsswitch മൊഡ്യൂൾ പരിശോധിക്കുകയും നിർദ്ദിഷ്ട ഡൊമെയ്ൻ ഉപയോക്താക്കൾക്കോ ഗ്രൂപ്പുകൾക്കോ മാത്രമായി ഔട്ട്പുട്ട് ചുരുക്കുന്നതിന് grep പോലുള്ള ഒരു ഫിൽട്ടറിലൂടെ ഫലങ്ങൾ പൈപ്പ് ചെയ്യുക.

$ sudo getent passwd| grep your_domain_user
$ sudo getent group|grep 'domain admins'

14. ഡൊമെയ്ൻ അക്കൗണ്ടുകളുള്ള ഉബുണ്ടു മെഷീനിൽ ആധികാരികത ഉറപ്പാക്കുന്നതിന്, നിങ്ങൾ റൂട്ട് പ്രത്യേകാവകാശങ്ങളോടെ pam-auth-update കമാൻഡ് പ്രവർത്തിപ്പിക്കുകയും വിൻബൈൻഡ് സേവനത്തിന് ആവശ്യമായ എല്ലാ എൻട്രികളും ചേർക്കുകയും ആദ്യ ലോഗിൻ സമയത്ത് ഓരോ ഡൊമെയ്ൻ അക്കൗണ്ടിനും സ്വയമേവ ഹോം ഡയറക്ടറികൾ സൃഷ്ടിക്കുകയും വേണം.

കോൺഫിഗറേഷൻ പ്രയോഗിക്കുന്നതിന് [space] കീ അമർത്തി എല്ലാ എൻട്രികളും പരിശോധിക്കുക.

$ sudo pam-auth-update

15. ഡെബിയൻ സിസ്റ്റങ്ങളിൽ നിങ്ങൾ /etc/pam.d/common-account ഫയലും ഇനിപ്പറയുന്ന വരിയും സ്വയമേവ ആധികാരികതയുള്ള ഡൊമെയ്uൻ ഉപയോക്താക്കൾക്കായി ഹോം സൃഷ്uടിക്കുന്നതിന് സ്വമേധയാ എഡിറ്റ് ചെയ്യേണ്ടതുണ്ട്.

session    required    pam_mkhomedir.so    skel=/etc/skel/    umask=0022

16. ആക്റ്റീവ് ഡയറക്uടറി ഉപയോക്താക്കൾക്ക് ലിനക്uസിലെ കമാൻഡ് ലൈനിൽ നിന്ന് പാസ്uവേഡ് മാറ്റാൻ /etc/pam.d/common-password ഫയൽ തുറന്ന് പാസ്uവേഡ് ലൈനിൽ നിന്ന് use_authtok സ്റ്റേറ്റ്uമെന്റ് നീക്കം ചെയ്uത് ചുവടെയുള്ള ഉദ്ധരണിയിൽ കാണുന്നത് പോലെയാണ്.

password       [success=1 default=ignore]      pam_winbind.so try_first_pass

17. Samba4 AD അക്കൗണ്ട് ഉപയോഗിച്ച് ഉബുണ്ടു ഹോസ്റ്റിൽ ആധികാരികത ഉറപ്പാക്കാൻ su – കമാൻഡിന് ശേഷം ഡൊമെയ്ൻ ഉപയോക്തൃനാമം പാരാമീറ്റർ ഉപയോഗിക്കുക. AD അക്കൌണ്ടിനെക്കുറിച്ചുള്ള കൂടുതൽ വിവരങ്ങൾ ലഭിക്കാൻ id കമാൻഡ് പ്രവർത്തിപ്പിക്കുക.

$ su - your_ad_user

നിങ്ങളുടെ ഡൊമെയ്uൻ യൂസർ കറന്റ് ഡയറക്ടറിയും പാസ്uവേഡ് മാറ്റണമെങ്കിൽ passwd കമാൻഡും കാണാൻ pwd കമാൻഡ് ഉപയോഗിക്കുക.

18. നിങ്ങളുടെ ഉബുണ്ടു മെഷീനിൽ റൂട്ട് പ്രത്യേകാവകാശങ്ങളുള്ള ഒരു ഡൊമെയ്ൻ അക്കൗണ്ട് ഉപയോഗിക്കുന്നതിന്, താഴെ പറയുന്ന കമാൻഡ് നൽകി sudo സിസ്റ്റം ഗ്രൂപ്പിലേക്ക് AD ഉപയോക്തൃനാമം ചേർക്കേണ്ടതുണ്ട്:

$ sudo usermod -aG sudo your_domain_user

ഡൊമെയ്ൻ അക്കൗണ്ട് ഉപയോഗിച്ച് ഉബുണ്ടുവിലേക്ക് ലോഗിൻ ചെയ്യുക, ഡൊമെയ്ൻ ഉപയോക്താവിന് റൂട്ട് പ്രത്യേകാവകാശങ്ങൾ ഉണ്ടോ എന്ന് പരിശോധിക്കാൻ apt-get update കമാൻഡ് പ്രവർത്തിപ്പിച്ച് നിങ്ങളുടെ സിസ്റ്റം അപ്ഡേറ്റ് ചെയ്യുക.

19. ഒരു ഡൊമെയ്ൻ ഗ്രൂപ്പിനായി റൂട്ട് പ്രത്യേകാവകാശങ്ങൾ ചേർക്കുന്നതിന്, visudo കമാൻഡ് ഉപയോഗിച്ച് എൻഡ് എഡിറ്റ് /etc/sudoers ഫയൽ തുറന്ന് താഴെയുള്ള സ്ക്രീൻഷോട്ടിൽ ചിത്രീകരിച്ചിരിക്കുന്നതുപോലെ ഇനിപ്പറയുന്ന വരി ചേർക്കുക.

%YOUR_DOMAIN\\your_domain\  group       		 ALL=(ALL:ALL) ALL

നിങ്ങളുടെ ഡൊമെയ്uൻ ഗ്രൂപ്പ് നാമത്തിൽ അടങ്ങിയിരിക്കുന്ന സ്uപെയ്uസുകൾ ഒഴിവാക്കാനോ ആദ്യ ബാക്ക്uസ്ലാഷിൽ നിന്ന് രക്ഷപ്പെടാനോ ബാക്ക്uസ്ലാഷുകൾ ഉപയോഗിക്കുക. മുകളിലുള്ള ഉദാഹരണത്തിൽ, TECMINT മണ്ഡലത്തിനായുള്ള ഡൊമെയ്ൻ ഗ്രൂപ്പിന് \ഡൊമെയ്ൻ അഡ്മിൻസ് എന്ന് പേരിട്ടിരിക്കുന്നു.

മുമ്പത്തെ ശതമാനം ചിഹ്നം (%) ചിഹ്നം സൂചിപ്പിക്കുന്നത് ഞങ്ങൾ ഒരു ഗ്രൂപ്പിനെയാണ് സൂചിപ്പിക്കുന്നത്, ഉപയോക്തൃനാമമല്ല.

20. നിങ്ങൾ ഉബുണ്ടുവിന്റെ ഗ്രാഫിക്കൽ പതിപ്പ് പ്രവർത്തിപ്പിക്കുകയും ഒരു ഡൊമെയ്ൻ ഉപയോക്താവിനൊപ്പം സിസ്റ്റത്തിൽ ലോഗിൻ ചെയ്യാൻ ആഗ്രഹിക്കുകയും ചെയ്യുന്നുവെങ്കിൽ, /usr/share/lightdm/lightdm.conf.d/50-ubuntu എഡിറ്റ് ചെയ്തുകൊണ്ട് നിങ്ങൾ LightDM ഡിസ്പ്ലേ മാനേജർ പരിഷ്കരിക്കേണ്ടതുണ്ട്. .conf ഫയൽ, ഇനിപ്പറയുന്ന വരികൾ ചേർത്ത് മാറ്റങ്ങൾ പ്രതിഫലിപ്പിക്കുന്നതിന് മെഷീൻ റീബൂട്ട് ചെയ്യുക.

greeter-show-manual-login=true
greeter-hide-users=true

അതിന് നിങ്ങളുടെ_domain_username അല്ലെങ്കിൽ [email _domain.tld അല്ലെങ്കിൽ your_domain\your_domain_username ഫോർമാറ്റ് ഉപയോഗിച്ച് ഒരു ഡൊമെയ്uൻ അക്കൗണ്ട് ഉപയോഗിച്ച് ഉബുണ്ടു ഡെസ്uക്uടോപ്പിൽ ലോഗിൻ ചെയ്യാൻ ഇപ്പോൾ കഴിയണം.