Вопрос или проблема
Я только что установил Ubuntu 20.10 и включил интеграцию с Active Directory во время установки. Он запрашивал пользователя AD и пароль, я их предоставил, и установка продолжилась с зелеными галочками.
После завершения установки я попытался войти с доменным пользователем (ufficio.lan\lucio), но это не удалось, как будто пароль был неверным (что не так, я пробовал несколько раз и уверен в своем пароле). Затем я вошел с локальным пользователем, которого создал во время установки, и проверил, что машина действительно подключена к домену:
# realm join -U Administrator ufficio.lan
realm: уже присоединены к этому домену
Обратите внимание, что после попытки войти с моим пользователем AD, gdm добавил мое настоящее имя и фамилию в список доступных пользователей, так что на самом деле он смог связаться с моим сервером AD и получить некоторую информацию обо мне. Однако домашний каталог не был создан, и он не смонтировал мой домашний каталог, который сервер расшаривает (это была бы моя конечная цель), и не впустил меня, как описано выше.
Я пытался снова установить Ubuntu 20.10 с нуля, на случай, если я допустил ошибки в первый раз, но получил такие же результаты.
Сервер — это Zentyal Community Edition 6.2, и другие компьютеры под управлением Linux в локальной сети могут входить с учетными данными AD, но это старые установки Fedora или Ubuntu 14.04, которые были вручную подключены к домену AD тогда, поэтому я не могу просто скопировать /etc/ и надеяться на лучшее: это не сработает.
РЕДАКТИРОВАТЬ после ответа Sturban:
Перед переустановкой с нуля я уже пытался ознакомиться с руководством, на которое ссылаются в ответе, но оно не решило проблему. Именно это руководство на Шаге 5 предложило мне команду
# realm join -U Administrator ufficio.lan
, чтобы проверить, подключена ли система уже к домену. Хотя она уже была подключена, я все равно пробовал следовать этому руководству (даже начиная с его Шага 1), но в конце Шага 5 команда id не обнаружила моего доменного пользователя, и gdm продолжал отказывать в моем доменном входе и не создавал мой домашний каталог.
Тем не менее, я подозреваю, что дело совсем в другом, и поэтому я не упомянул об этих попытках ранее: в Ubuntu 20.10 есть опция интеграции AD во время установки, и это новая функция, которая отсутствовала в версиях до 20.04, так что я подозреваю, что что-то другое требуется в Ubuntu 20.10, тогда как руководство предполагает использование Ubuntu 20.04.
РЕДАКТИРОВАТЬ #2
Я попробовал начать с чистых виртуальных машин Zentyal 6.2 + Ubuntu 20.04 (учтите, не 20.10) в виртуальной локальной сети, а затем следовать руководству, на которое ссылается ответ Sturban, которое должно быть актуально для Ubuntu 20.04. Это не сработало так же, как и с Ubuntu 20.10.
Честно говоря, я не следовал руководству дословно (никогда так не делал), но всегда предполагал, что мне нужно адаптировать Шаг 1 к фактической ОС, которую я использую. Шаг 1 предлагает добавить репозитории Ubuntu 18.04 в /etc/apt/sources.list, но я всегда предполагал, что это на самом деле значит, что мне нужно добавить репозитории моего дистрибутива, которые содержат пакеты для установки на Шаге 3. К тому же, я думаю, что добавление репозиториев bionic к установке focal или buster и затем установка старых пакетов оттуда разрушило бы ОС, верно? Или мне действительно придется проходить через хлопоты с добавлением устаревших репозиториев к текущей ОС, чтобы сделать работу аутентификации AD?
Кроме того, я следовал руководству дословно, но в конце шага 5 команда id все равно не могла найти пользователей AD.
Теперь я предполагаю, что мой вопрос применим и к Ubuntu 20.04, и что это руководство более устарело, чем я думал. Это значит, что если вы знаете решение для работы аутентификации пользователей AD в Ubuntu 20.04, я предполагаю, что оно будет работать и в Ubuntu 20.10, но это руководство не учитывает что-то важное и этого недостаточно в качестве решения.
Отрывок из замечательного руководства по подключению Linux-машин к AD.
На системах, основанных на RHEL, домашний каталог пользователя создается автоматически. В Ubuntu / Debian вам нужно включить эту функцию.
sudo bash -c "cat > /usr/share/pam-configs/mkhomedir" <<EOF
Name: activate mkhomedir
Default: yes
Priority: 900
Session-Type: Additional
Session:
required pam_mkhomedir.so umask=0022 skel=/etc/skel
EOF
Решением, размещенным в другом месте на этом форуме для данной проблемы, является установка
ad_gpo_access_control = permissive
в разделе [domain] файла /etc/sssd/sssd.conf
Источник: https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=859445
Сработало для меня.
Ответ или решение
Вопрос интеграции Active Directory (AD) на Ubuntu 20.10, как описано в вашем запросе, действительно может вызывать определенные сложности. Рассмотрим проблему подробнее, шаг за шагом, с акцентом на возможные решения.
Фоновые Заметки
Ubuntu 20.10 имеет новые возможности интеграции с AD, однако это может привести к несовместимостям с устаревшими руководствами или методами, которые использовались в предыдущих версиях. Учитывая, что у вас уже есть опыт работы с другими системами на основе Fedora и Ubuntu 14.04, важно понимать, что процесс может измениться в более новых версиях.
Проблемы Входа
Вы упомянули, что при попытке входа с учетной записью домена (например, ufficio.lan\lucio) возникают трудности. Ниже перечислены шаги по устранению возможных причин этой проблемы.
-
Проверка Установки Пакетов: Убедитесь, что все необходимые пакеты для интеграции с AD установлены, особенно
realmd,sssd,samba,samba-common-bin,adcliиkrb5-user. Проверьте наличие последних обновлений системы.sudo apt update sudo apt install realmd sssd samba samba-common-bin adcli krb5-user -
Конфигурация SSSD: Когда вы добавили систему в домен, должен был автоматически создаваться или обновляться файл
/etc/sssd/sssd.conf. Убедитесь, что в разделе[domain/ufficio.lan]в конфигурации указаны правильные параметры. Для включения автоматического создания домашних каталогов добавьте следующее:[domain/ufficio.lan] ... ad_gpo_access_control = permissiveЭто может помочь в устранении проблемы с доступом, если есть ограничения группы политик. Не забудьте перезапустить службу SSSD после внесения изменений:
sudo systemctl restart sssd -
Проверка Аутентификации: Используйте команду
idдля проверки доступности учетной записи домена после выполнения команды join. Это может дать вам понимание о том, видна ли учетная запись пользователю. Если учетная запись видна, выполнение следующей команды должно вернуть информацию о пользователе.id lucio@ufficio.lan -
Создание Домашнего Каталога: В вашем случае, поскольку ваша система должна автоматически создавать домашние каталоги, убедитесь, что конфигурация PAM правильно настроена для этого. Вы можете сделать это следующим образом:
sudo bash -c "cat > /usr/share/pam-configs/mkhomedir <<EOF Name: activate mkhomedir Default: yes Priority: 900 Session-Type: Additional Session: required pam_mkhomedir.so umask=0022 skel=/etc/skel EOF" -
Логи и Отладочная Информация: Проверьте журналы, такие как
/var/log/auth.logили/var/log/secure, чтобы получить дополнительные подсказки по поводу проблем с аутентификацией. Это может помочь установить, была ли проблема связана с неправильными учетными данными или с сетевыми проблемами.
Заключение
Если все вышеуказанные шаги не приводят к решению проблемы, возможно, проблема связана со специфическими настройками вашего Zentyal сервера или с сетевыми ограничениями (например, брандмауэром). В этом случае может оказаться полезным обратиться в техподдержку Zentyal или к сообществу Ubuntu для получения дополнительных рекомендаций.
Если необходимо, можно рассмотреть возможность поэкспериментировать с настройками AD или даже с установкой чистой копии Ubuntu 20.04, чтобы проверить, сохраняются ли те же проблемы с аутентификацией, что может помочь выработать стратегию дальнейших действий.
Надеюсь, эти рекомендации окажутся полезными для решения вашей проблемы с интеграцией Active Directory на Ubuntu 20.10.