Eseguire il join su Active Directory da Ubuntu Server
Nota: Riprendo l’articolo già scritto Eseguire il join su Active Directory da Mint 17 “Qiana” e lo adatto alla prova fatta però con Ubuntu Server, ad esempio per creare un server NAS.
Per questa operazione ci si è spesso abituati ad utilizare il pacchetto Likewise Open, però dal 2012 è stato acquisito dall’azienda BeyondTrust ed è diventato PowerBroker Identity Services Open.
Nella prova ho usato ancora la versione Ubuntu Server LTS 12.04.5 in quanto la verisone LTS 14.04.1 ha una versione di Samba non pienamente supportata dal pacchetto attuale ( 8.2.1 ) PBIS.
Nota: onde evitare eventuali problemi di utenza o di profilo si consiglia di avere un utente locale diverso dall’utente di dominio.
Occorre quindi andare sulla pagina del prodotto e scaricare i pacchetti da installare:
|
1 2 3 4 |
# versione 32 bit wget http://download.beyondtrust.com/PBISO/8.2.1/linux.deb.i386/pbis-open-8.2.1.2979.linux.x86.deb.sh # versione 64 bit wget http://download.beyondtrust.com/PBISO/8.2.1/linux.deb.x64/pbis-open-8.2.1.2979.linux.x86_64.deb.sh |
Dargli i permessi di esecuzione ed eseguire l’installazione:
|
1 2 |
sudo chmod +x pbis-open-8.2.1.2979.linux.x86_64.deb.sh sudo ./pbis-open-8.2.1.2979.linux.x86_64.deb.sh |
L’installazione verrà fatta in /opt/pbis/ , se alla domanda se si vuole anche il supporto ai vecchi nomi ( legacy ) si risponde yes verrà creata anche la cartella /opt/likewise/ con tutti i collegamenti verso la nuova versione, presumo per mantenere la compatibilità con il passato.
A differenza dalle versioni desktop che al termine si apriva una finestra con la richiesta dei dati per fare il join al dominio qui occorre eseguire tale operazione a mano chiamando il comando:
|
1 |
sudo /opt/pbis/bin/domainjoin-cli join DOMAIN DomainAdmin |
Occorre riavviare al termine.
Potrebbe uscire un messaggio di errore del modulo PAM in rete si consiglia poi di modificare tale opzione in questa maniera:
|
1 |
sudo nano /etc/pam.d/common-session |
Cercare la stringa riferita al modulo pam_lsass.so e modificarla in questa maniera:
|
1 |
session [success=ok default=ignore] pam_lsass.so |
Occorre poi impostare alcuni parametri di default:
|
1 2 3 4 5 |
sudo /opt/pbis/bin/config UserDomainPrefix DOMAIN sudo /opt/pbis/bin/config AssumeDefaultDomain true sudo /opt/pbis/bin/config LoginShellTemplate /bin/bash sudo /opt/pbis/bin/update-dns sudo /opt/pbis/bin/ad-cache --delete-all |
Se vogliamo anche impostare la macchina come NAS sfruttando la condivisione Samba occorre richiamare poi anche il comando:
|
1 |
sudo /opt/pbis/bin/samba-interop-install --install |
Nel file smb.conf si impostano poi i seguenti parametri:
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 |
[global] workgroup = DOMAIN realm = DOMAIN.EXT security = ADS machine password timeout = 0 idmap uid = 10000-20000 idmap gid = 10000-20000 encrypt passwords = yes Kerberos method = dedicated keytab dedicated keytab file = /etc/krb5.keytab [share] read list = @"DOMAIN\Domain Users" writeable = yes path = /path/to/share write list = DOMAIN\user,@"DOMAIN\group" valid users = DOMAIN\user,@"DOMAIN\group",@"DOMAIN\Domain Users" public = yes browsable = yes |
Dopo volendo è possibile anche dare ad un utente o ad un gruppo di dominio i diritti di sudo, si esegue il comando visudo e si aggiunge a fine file:
|
1 2 3 |
%DOMAIN\\user ALL=(ALL:ALL) ALL %DOMAIN\\group ALL=(ALL:ALL) ALL |
Al termine delle operazione è consigliato un riavvio della macchina, dopodichè è possibile eseguire il login come utente di dominio.