• Szerző: Sallai András
• Copyright © Sallai András, 2019
• CC Attribution-Share Alike 4.0 International
• Web: https://szit.hu

Célunk, a helyi linuxos kliens gépen, tartományi felhasználóval be tudjunk lépni. Automatikusan jöjjön létre a felhasználó nem létező könyvtára.

A Linux már be kell legyen léptetve a tartományba. Végezzük el a Linux tartományba léptetést.

apt install libpam-winbind libnss-winbind

A Samba telepítő kérdése:

Modify smb.conf to use WINS settings from DHCP?
                              <Nem>

A krb5-config kérdése:

Default Kerberos version 5 realm:

ZOLD.AND

Kerberos servers for your realm:
edu.zold.and

Administrative server for your Kerberos realm:
edu.zold.and

Egészítsük ki az nsswitch.conf állományban a passwd és group kezdetű sorokat. Írjuk mindegyik végére a mintának megfelelően a winbind szót.

Szerkesztés:

nano /etc/nsswitch.conf

Tartalom:

passwd:    files systemd winbind
group:     files systemd winbind
...

Szerkesszük az smb.conf állományt:

nano /etc/samba/smb.conf

Tegyük a global szekció végére:

...
        winbind use default domain = yes
        template homedir = /home/%D/%U
        template shell = /bin/bash  

A winbind use default domain = yes sor, azért kell, hogy látható legyen a linuxos kliensen is a tartományi felhasználó. A template homedir kezdetű sor, megmondja, hol jöjjön létre a felhasználónak saját könyvtár. A %D a tartománynév (SMB01), a %U a felhasználónevet jelöli. A template shell kezdetű sor, azért szükséges, mert csak így tud belépni a felhasználó azonosítás után.

Futtassuk a pam-auth-update:

# pam-auth-update

A második képernyőn választási lehetőségünk van:

      │    [*] Unix authentication                                       │ 
      │    [*] Winbind NT/Active Directory authentication                │ 
      │    [*] Register user sessions in the systemd control group ...   │ 
      │    [*] Create home directory on login 

Jelöljük be a „Create home directory on login” lehetőséget.

Most indítsuk újra a winbind-t:

systemctl restart winbind

A winbind működésének ellenőrzése:

# wbinfo --ping-dc
checking the NETLOGON for domain[SMB01] dc connection to "edu.zold.and" succeeded

Ha az tartományvezérlőben fel van véve a mari felhasználó:

id mari
uid=3000(mari) gid=3000(domain users) csoportok=3000(domain users)
<code>

<code>
getent passwd mari
mari:*:3000:3000::/home/SMB01/mari:/bin/base

Még néhány ellenőrzés:

wbinfo -u
wbinfo -g
wbinfo -i mari

A fentiek csak ezt jelentik, hogy látható a linuxos kliensen a felhasználó. Most nézzük meg be lehet lépni a nevében:

# su - mari
$ id
$ exit

Hiányzó smb.conf sor:

getent passwd mari
mari:*:3000:3000::/home/SMB01/mari:/bin/false

Ha getent passwd mari parancs után a shell false, akkor kliens smb.conf-ban nincs beállítva a következő sor:

[global]
...
        template shell = /bin/bash

Tünet: Minden beállítottunk, a winbind mégsem indul.

Léptessük tartományba a Linuxot, utána elindul.

net ads join -U administrator%Titok12345

• https://wiki.debian.org/AuthenticatingLinuxWithActiveDirectory
• https://wiki.samba.org/index.php/PAM_Offline_Authentication
• https://wiki.samba.org/index.php/Authenticating_Domain_Users_Using_PAM
• https://www.tecmint.com/manage-samba4-active-directory-linux-command-line/