Integrare una Macchina Linux nel Dominio Windows Active Directory

Integrare una workstation Ubuntu con Windows Active Directory (AD) è una sfida comune, soprattutto in ambienti misti che utilizzano sia sistemi Linux che Windows. Per gli utenti DataSunrise, questa integrazione consente un’autenticazione senza interruzioni e un controllo degli accessi tra piattaforme. Questa guida delinea i passi necessari per aiutare Lei a configurare Ubuntu per autenticarsi contro un server AD centralizzato, garantendo una gestione efficiente della sicurezza all’interno della Sua rete.

1. Specificare il nome del computer configurato nel file /etc/hostname

Interrogare il nome host corrente:

Se necessario, specificare un nuovo nome host:

Nota. Il nome host non può essere localhost, poiché localhost è il nome per 127.0.0.1 (specificato nel file /etc/hosts quando si installa il sistema operativo).

2. Specificare il nome completo del controller di dominio nel file /etc/hosts

Aggiungere un record statico con il nome completo del controller di dominio alla fine del file /etc/hosts. È necessario effettuare la traduzione tra indirizzo IP e nome del computer, in modo che possa utilizzare il nome host al posto dell’indirizzo IP.

3. Impostare un server DNS sul computer configurato

Il controller di dominio deve essere la prima opzione per la ricerca. Aggiungere l’indirizzo IP del controller di dominio a /etc/resolv.conf. Nella maggior parte delle distribuzioni resolv.conf viene generato automaticamente, quindi aggiungere l’indirizzo IP del controller di dominio a /etc/resolvconf/resolv.conf.d/head.

Modificare il file aperto come segue:

domain domain.com
search domain.com
nameserver <indirizzo IP del controller di dominio>
nameserver 8.8.8.8

Riavviare il servizio di rete.

Utilizzare il comando nslookup per verificare.

4. Configurare la sincronizzazione dell’ora

L’ora di sistema sulla macchina deve essere sincronizzata con l’ora di sistema sul server del controller di dominio. Installare lo strumento ntp e modificare il file ntp.conf.

Modificare il file come segue.

# È necessario parlare con un server NTP o due (o tre).
server dc.domain.com

Riavviare il demone ntpd.

5. Installare un client Kerberos

6. Installare Samba, Winbind e NTP

7. Modificare il file /etc/krb5.conf per aggiungere il nome completo del dominio, il nome del controller di dominio e il parametro realm

Importante: Non lasciare commenti contrassegnati con il simbolo “#” nel file di configurazione.

[libdefaults]
    default_realm       =           DOMAIN.COM    # parametro specifico del dominio (nome completo del dominio)
    clockskew           =           300
    ticket_lifetime     =           1d
    forwardable         =           true
    proxiable           =           true
    dns_lookup_realm    =           true
    dns_lookup_kdc      =           true
   
 
   [realms]
        DOMAIN.COM = {
        kdc            =       hostname.domain.com   # parametro specifico del dominio (nome del controller di dominio)
        admin_server   =       hostname.domain.com   # parametro specifico del dominio (nome del controller di dominio)
        default_domain =       DOMAIN.COM         # parametro specifico del dominio (nome completo del dominio)
        }
 
[domain_realm]
        .domain.com = DOMAIN.COM  # parametro specifico del dominio (nome del dominio per i nomi dns)
        domain.com = DOMAIN.COM   # parametro specifico del dominio (nome del dominio per i nomi dns)
 
[appdefaults]
        pam = {
        ticket_lifetime         = 1d
        renew_lifetime          = 1d
        forwardable             = true
        proxiable               = false
        retain_after_close      = false
        minimum_uid             = 0
        debug                   = false
        }

8. Modificare il file /etc/samba/smb.conf per aggiungere il nome breve del dominio e il nome completo del dominio:

Importante: Non lasciare commenti contrassegnati con il simbolo “#” nel file di configurazione.

[global]
   workgroup = DOMAIN                   # parametro specifico del dominio (nome breve del dominio)
   realm = DOMAIN.COM                 # parametro specifico del dominio (nome completo del dominio)
   security = ADS
   encrypt passwords = true
   socket options = TCP_NODELAY
   domain master = no
   local master = no
   preferred master = no
   os level = 0
   domain logons = 0
   server string = %h server (Samba, Ubuntu)
   dns proxy = no
   log file = /var/log/samba/log.%m
   max log size = 1000
   syslog = 0
   panic action = /usr/share/samba/panic-action %d
   server role = standalone server
   passdb backend = tdbsam
   obey pam restrictions = yes
   unix password sync = yes
   passwd program = /usr/bin/passwd %u
   passwd chat = *Enter\snew\s*\spassword:* %n\n *Retype\snew\s*\spassword:* %n\n *password\supdated\ssuccessfully* .
   pam password change = yes
   map to guest = bad user
   usershare allow guests = yes

Nota. Prima di utilizzare il file di configurazione, rimuovere le linee di commento.

9. Entrare nel dominio:

Dopo aver aderito con successo al dominio è possibile pingare i nomi host di Active Directory, ad esempio:

10. Verificare che l’autenticazione per un utente di Active Directory sia riuscita:

Nota. Digitare il nome del dominio in lettere maiuscole.

Se tutto è stato configurato correttamente, il ticket verrà creato.

Assicurarsi che il ticket sia stato creato:

Ecco fatto: una workstation Ubuntu integrata con Windows Active Directory.

Si prega di fare riferimento a Autenticazione Active Directory per il Database MySQL se necessita di ulteriori informazioni.

Il Suo database contiene informazioni sensibili che richiedono protezione? Necessita di conformità a normative come GDPR, SOX o HIPAA? Esplori la soluzione completa di DataSunrise per l’auditing del database, la sicurezza e il mascheramento dei dati. Provi la nostra versione di prova gratuita o programmi una demo online per vedere come possiamo salvaguardare i Suoi dati e garantire la conformità regolamentare.