我们知道,我们可以在安装过程中加入 AD 域,但是安装后是否有 GUI 可以执行此操作?就像在 Mac 和 Windows 上一样超级简单?
如果没有 GUI,我该如何提出请求?
答案1
我从未见过。问题是... Linux 端使用的软件由 1 个命令和 1 个配置文件组成,并且几乎只在服务器上使用。这完全消除了对图形前端的需求。
所有连接工具均基于命令行。
领域配置完成后是这样的:
realm join --user=[domain user account] [domain name]
很少有 GUI 能做得比这更好。
如果您想要一个 GUI,您可能需要自己制作一个;它是一个 Redhat 项目,所以不是 Ubuntu 也不是 Canonical。
答案2
顺便说一下,它现在已内置于新操作系统设置中。现在同样有一个 GUI 安装后界面。
https://github.com/ubuntu/adsys/blob/main/doc/02.-Prerequisites.md
先决条件和安装
为了在 Ubuntu 客户端上使用组策略,首先要做的当然是将计算机加入到 Active Directory 域。
加入 AD 域有两种方法:
- 安装时使用 Ubuntu 桌面安装程序。
- 安装后,通过手动设置与 AD 的连接。
加入 Active Directory 域
安装时加入
只有 Ubuntu 桌面图形安装程序 Ubiquity 支持在安装过程中加入。因此,请像平常一样开始安装 Ubuntu 桌面,然后转到页面“你是谁?”. 输入用户和计算机名称信息。
关于主机名的注释:
为了正确设置和解析主机名,您必须输入完全合格域名在“您的计算机名称”字段中输入计算机的 FQDN。例如,
host01.example.com
而不仅仅是主机名host01
。安装后,您可以使用命令检查它是否正确
hostname
,hostname -f
该命令必须分别返回机器的名称(host01
)和带有域的机器的全名(host01.example.com
)。
勾选复选框“使用 Active Directory”并点击“继续”继续下一步“配置 Active Directory”。
在此页面上,您可以输入 Active Directory 控制器的地址和允许将机器添加到域的用户的凭据。
您可以通过按以下方式验证服务器是否可以访问“测试连接”。
输入所有信息并确认有效后,按“继续”继续执行其余的常规安装步骤。
在安装结束时,您可以重新启动机器,并准备在首次启动时以域用户身份登录。
如果在安装过程中加入过程出现任何问题,您将收到对话框通知。您仍然可以重新启动计算机,以计算机的管理员用户身份登录(即您在页面中输入的用户“你是谁?”)并解决问题。Ubuntu 服务器指南提供了执行此类故障排除的说明。
使用 SSSD 手动加入
本文档的目的是描述如何操作 ADSys。因此,我们不会深入描述从 Ubuntu 客户端手动配置与 Active Directory 的连接的操作。
针对 Active Directory 服务器对 Ubuntu 进行身份验证需要配置 SSSD 和 Kerberos。然后,SSSD 将检索 的凭据和初始安全策略Default Domain Policy
。
所有这些操作都在Ubuntu 服务器指南“服务 - SSSD”和白皮书如何将 Ubuntu 桌面与 Active Directory 集成。
使用 Winbind 手动加入
除了 SSSD,ADSys 还支持使用 Winbind 作为后端。使用 Winbind 加入域的最简单方法是使用该realmd
实用程序,如Samba 活动目录指导。
ADSys 使用 SSSD 作为默认后端,因此必须通过以下配置选项明确选择加入 Winbind adsys.yaml
:
ad_backend: winbind
此外,Winbind 需要安装其他依赖项。在基于 Ubuntu 的系统上,可以在 ADSys 之前执行以下命令来安装它们:
sudo apt update
sudo apt install winbind krb5-user
安装 ADSys
安防系统目前在 Ubuntu 桌面上未默认安装。这必须由机器的本地管理员手动完成。
为此,请在首次启动时登录,更新存储库并安装安防系统。在基于 Ubuntu 的系统上,可以使用以下命令完成此操作:
sudo apt update
sudo apt install adsys
然后重新启动以允许机器执行其策略刷新。
以域用户身份登录
要以域用户身份登录,请按链接“不在名单中?”在欢迎界面。然后输入用户名和密码。
固态存储系统
默认情况下,SSSD 中没有配置默认域。您必须使用以下格式之一输入完整用户名:[email protected]
、USER@DOMAIN
或DOMAIN/USER
。
首次登录时会创建用户的主目录。
所有这些(默认域、主目录的默认路径、默认 shell 等等)都可以在 中配置/etc/sssd/sssd.conf
。
温宾
如果使用 Winbind 作为后端,则可以采用以下形式之一指定帐户:[email protected]
,USER@DOMAIN
或DOMAIN\\USER
。
为了在登录时自动创建主目录,pam_mkhomedir
可以启用该模块:
sudo pam-auth-update --enable mkhomedir
可以调整诸如主目录路径模板、shell 等选项/etc/samba/smb.conf
,这些选项记录在smb.conf(5)
手册页。