[[oktatas:linux:samba|< Samba]]

====== Debian10 azonosítás AD DC tartományból ======

  * **Szerző:** Sallai András
  * Copyright (c) Sallai András, 2019
  * [[https://creativecommons.org/licenses/by-sa/4.0/|CC Attribution-Share Alike 4.0 International]]
  * Web: http://szit.hu

===== Bevezetés =====

Célunk, a helyi linuxos kliens gépen, tartományi 
felhasználóval be tudjunk lépni. Automatikusan jöjjön létre
a felhasználó nem létező könyvtára.

===== Feltételek =====

A Linux már be kell legyen léptetve a tartományba.
Végezzük el a [[oktatas:linux:samba:debian10_ad_dc_tartomanyba_leptetes|Linux tartományba léptetést]]. 

===== Telepítés =====

  apt install libpam-winbind libnss-winbind

A Samba telepítő kérdése:
<code>
Modify smb.conf to use WINS settings from DHCP?
                              <Nem>
</code>


A krb5-config kérdése:
<code>
Default Kerberos version 5 realm:

ZOLD.AND
</code>

<code>
Kerberos servers for your realm:
edu.zold.and
</code>

<code>
Administrative server for your Kerberos realm:
edu.zold.and
</code>


===== Beállítás =====

==== Névfeloldás kapcsolás ====

Egészítsük ki az nsswitch.conf állományban a 
passwd és group kezdetű sorokat. Írjuk mindegyik végére
a mintának megfelelően a winbind szót.

Szerkesztés:
  nano /etc/nsswitch.conf

Tartalom:
<code>
passwd:    files systemd winbind
group:     files systemd winbind
...
</code>


==== Winbind ====

Szerkesszük az smb.conf állományt:
  nano /etc/samba/smb.conf

Tegyük a global szekció végére:
<code>
...
        winbind use default domain = yes
        template homedir = /home/%D/%U
        template shell = /bin/bash  
</code>



A winbind use default domain = yes sor, azért kell, hogy 
látható legyen a linuxos kliensen is a tartományi felhasználó.
A template homedir kezdetű sor, megmondja, hol jöjjön létre
a felhasználónak saját könyvtár. A %D a tartománynév (SMB01),
a %U a felhasználónevet jelöli. 
A template shell kezdetű sor, azért szükséges, mert csak
így tud belépni a felhasználó azonosítás után.


Futtassuk a pam-auth-update:
  # pam-auth-update

A második képernyőn választási lehetőségünk van:
<code>
      │    [*] Unix authentication                                       │ 
      │    [*] Winbind NT/Active Directory authentication                │ 
      │    [*] Register user sessions in the systemd control group ...   │ 
      │    [*] Create home directory on login 
</code>

Jelöljük be a "Create home directory on login" lehetőséget.

Most indítsuk újra a winbind-t:
  systemctl restart winbind



===== Ellenőrzés =====

A winbind működésének ellenőrzése:
<code>
# wbinfo --ping-dc
checking the NETLOGON for domain[SMB01] dc connection to "edu.zold.and" succeeded
</code>

Ha az tartományvezérlőben fel van véve a mari felhasználó:

<code>
id mari
uid=3000(mari) gid=3000(domain users) csoportok=3000(domain users)
<code>

<code>
getent passwd mari
mari:*:3000:3000::/home/SMB01/mari:/bin/base
</code>


Még néhány ellenőrzés:
  wbinfo -u
  wbinfo -g
  wbinfo -i mari
  
A fentiek csak ezt jelentik, hogy látható a linuxos kliensen a
felhasználó. Most nézzük meg be lehet lépni a nevében:

<code>
# su - mari
$ id
$ exit
</code>

===== Függelék =====
==== Hibalehetőség ====

Hiányzó smb.conf sor:

<code>
getent passwd mari
mari:*:3000:3000::/home/SMB01/mari:/bin/false
</code>

Ha ''getent passwd mari'' parancs után a shell ''false'',
akkor kliens ''smb.conf''-ban nincs beállítva a következő
sor:
<code>
[global]
...
        template shell = /bin/bash
</code>


Tünet: Minden beállítottunk, a winbind mégsem indul.
  Léptessük tartományba a Linuxot, utána elindul.

  net ads join -U administrator%Titok12345



===== Forrás =====

  * https://wiki.debian.org/AuthenticatingLinuxWithActiveDirectory
  * https://wiki.samba.org/index.php/PAM_Offline_Authentication
  * https://wiki.samba.org/index.php/Authenticating_Domain_Users_Using_PAM
  * https://www.tecmint.com/manage-samba4-active-directory-linux-command-line/