Precisando ingressar linux mint no domínio active directory e não sabe como fazer ?
Aprenda no tutorial como ingressar em um domínio Active Directory um computador que tem o linux mint instalado, garantindo o login com usuários do AD na estação de trabalho.
Pré-requisitos
Antes de começar, verifique se você possui:
- Acesso ao usuário root ou autorização para executar o comando sudo no cliente linux mint.
- Um domínio Active Directory funcional. Se não tem, aprenda a configurar o Samba AD DC.
- Usuário do AD com permissão para adicionar computadores ao domínio.
Com esses pré-requisitos preenchidos pode seguir em frente e executar cada comando ensinado.
Informações técnicas do computador cliente e domínio
As informações técnicas do cliente usadas no tutorial são:
Sistema Operacional: Linux Mint versão 22.x
Endereço IP do cliente: 192.168.213.245/24
Hostname: lmint-cliente
Nome NetBIOS do cliente: lmint-cliente # o mesmo que o hostname, deve ter no máximo 15 caracteres.
As informações técnicas do servidor e domínio usadas durante o processo de configuração no tutorial são:
Endereço IP do servidor: 192.168.213.77/24
Nome do domínio: dlncloud.lan
Nome NetBIOS do domínio: dlncloud
Configurando a placa de rede do cliente
Antes de ingressar no domínio é necessário configurar na máquina cliente:
- O endereço IP.
- IP do servidor DNS que será consultado.
- O nome de domínio do AD.
O linux mint usa um serviço chamado netplan para gerenciar as configurações das placas de rede. Por padrão, o netplan usa um programa externo chamado NetworkManager para definir as configurações da placa de rede.
Para configurar manualmente a placa de rede, primeiro liste as conexões existentes do NetworkManager:
nmcli con show
No exemplo do tutorial a conexão é a enp0s3 que configura a placa de rede. Para executar os comandos a seguir substitua enp0s3 pelo nome da conexão que apareceu para você.
Na máquina cliente execute os comandos para configurar o endereço IP, o IP do servidor DNS que será usado pelo cliente e o nome do domínio do AD.
nmcli con mod 'enp0s3' ipv4.addresses 192.168.213.245/24 # IP do cliente
nmcli con mod 'enp0s3' ipv4.gateway 192.168.213.254 # IP do roteador
nmcli con mod 'enp0s3' ipv4.dns 192.168.213.77 # DNS é o IP do AD DC
nmcli con mod 'enp0s3' ipv4.dns-search 'dlncloud.lan' # nome do domínio do AD
nmcli con mod 'enp0s3' ipv4.method manualAVISO
Substitua o endereço IP 192.168.213.245/24 pelo IP real do cliente.
Substitua o endereço IP 192.168.213.254 pelo IP real do roteador da rede.
Substitua o endereço IP 192.168.213.77 pelo IP do servidor AD DC que já configurou.
Substitua dlncloud.lan pelo nome do domínio que já está configurado.
Para aplicar as alterações reinicie o NetworkManager:
systemctl restart NetworkManager.serviceIMPORTANTE
Se o computador cliente está em uma rede que tem o serviço DHCP, não precisa fazer nada no cliente por que o linux mint já vêm configurado para receber automaticamente as configurações pelo serviço DHCP da rede.
Mas é necessário o administrador configurar o serviço DHCP no servidor, para:
1. As máquinas clientes usarem o IP do servidor controlador de domínio como servidor DNS.
2. As máquinas clientes usarem o nome do domínio DNS do active directory.
Feita essas duas configurações no servidor DHCP da rede, basta fazer a máquina cliente obter as configurações a partir do DHCP, reiniciando a máquina cliente ou reiniciando o NetworkManager.
Instalar os pacotes necessários
Antes de instalar os pacotes, atualize o linux mint:
apt update
apt upgradeInstale os pacotes usados para ingressar o computador no domínio e também para comunicação com os servidores AD após ingressar no domínio:
apt install realmd sssd sssd-tools adcli samba-common-bin packagekit -yConfigurar serviço NTP cliente
Para a autenticação ser feita com sucesso é necessário que a data e hora estejam sincronizadas entre o(s) servidor(es) AD DC e o cliente.
O linux mint tem um serviço NTP cliente chamado systemd-timesyncd, para configurá-lo para sincronizar a data e hora com o servidor AD DC primeiro crie um diretório que conterá a configuração.
mkdir -v /etc/systemd/timesyncd.conf.dCrie o arquivo /etc/systemd/timesyncd.conf.d/samba.conf com a configuração para se conectar com o serviço NTP do AD DC:
echo "[Time]
NTP=192.168.213.77" > /etc/systemd/timesyncd.conf.d/samba.confSubstitua o endereço IP 192.168.213.77 pelo IP do controlador de domínio.
Para efetivar as alterações e sincronizar a data e hora com servidor AD DC reinicie o systemd-timesyncd.
systemctl restart systemd-timesyncd.serviceTestar conexão com controlador de domínio do AD
Antes de ingressar no domínio teste a conexão com os servidores ad dc, executando o comando:
realm discover dlncloud.lanSubstitua dlncloud.lan pelo nome do domínio correto.
Se tudo estiver correto, você verá informações sobre o domínio, similares da imagem a seguir.
Ingressar Linux Mint no domínio Active Directory
Altere o hostname(também será o nome NetBIOS) do cliente, o hostname deve ter no máximo 15 caracteres.
hostnamectl hostname lmint-clientePara ingressar linux mint no domínio active directory, execute o comando:
realm join dlncloud.lan --client-software=sssd -U administrator -vExplicação das opções do comando realm:
join: ingressar computador no domínio.
--client-software: Define o software cliente que será usado para se comunicar com os servidores controladores de domínio após o cliente ingressar no domínio.
-U: Opção usada para informar a conta de usuário com permissão para ingressar o computador no domínio.
-v: Modo verbose, mostra detalhes do comando realm.
Substitua administrator por um usuário com permissão no AD de ingressar a máquina no domínio e altere dlncloud.lan pelo nome real do domínio, digite a senha quando solicitado.
Quando o comando concluir a execução, no final você verá informações similares a essa:
Configurações após ingressar no domínio
É necessário configurar o software cliente sssd para definir a localização do diretório home de cada usuário do AD e também a aplicação do controle acesso por GPO.
Pra configurar o sssd edite o arquivo de configuração /etc/sssd/sssd.conf.
nano /etc/sssd/sssd.confAdicione dentro da seção do domínio, no fim do arquivo:
override_homedir = /home/%d/%u
ad_gpo_access_control = permissiveExplicação das opções:
override_homedir: Localização completa do diretório home das contas de usuários do AD.
ad_gpo_access_control: Define o modo em que o controle de acesso baseado em GPO é executado. permissive significa que o controle de acesso baseado em GPO é avaliado, mas não é aplicado.
Após salvar as alterações reinicie o serviço sssd e habilite para iniciar durante o boot:
systemctl restart sssd.service
systemctl enable sssd.serviceConfiguração dos módulos do Pam
Após ingressar linux mint no domínio active directory ainda é necessário ativar os módulos PAM sssd e mkhomedir.
Para ativar os módulos execute os comandos a seguir:
pam-auth-update --enable mkhomedir # ativa módulo que cria diretórios home
pam-auth-update --enable sss # ativa módulo para autenticaçãoAssim, ao primeiro login com um usuário do AD o linux mint criará a pasta pessoal do usuário.
Configure o gerenciador de login (OPCIONAL)
O linux mint linux(cinnamon) usa o gerenciador de login LightDM, e as contas de usuário disponíveis ficam listadas na tela de login.
Para ocultar da tela os nomes das contas de usuários, primeiro: clique no menu > Administração > Janela de inicio de sessão.
Será solicitada autenticação para fazer alterações no sistema, informe a senha da conta de usuário com permissão.
Na nova janela aberta clique na aba Usuários e em seguida ative a opção Ocultar lista de usuário, veja o exemplo na imagem a seguir.
Feche a janela e as alterações serão salvas.
Reinicie a máquina cliente e teste a autenticação
Após todas essas configurações, reinicie o computador:
rebootApós o computador ter reiniciado, digite o nome do usuário do AD para testar a autenticação.
Pode-se digitar o nome da conta de usuário do AD em dois formatos:
1º Formato: [email protected], que é o nome do usuário do Ad, seguido do caractere @, seguido do nome do domínio.
2º Formato: dlncloud\administrator, que equivale ao nome NetBIOS do domínio, seguido do caractere \, seguido do nome do usuário do AD.
Após digitar o nome da conta de usuário clique na tecla ENTER, digite a senha e clique na tecla ENTER novamente.
Se tudo estiver certo, o usuário será autenticado, diretório home criado e o acesso será liberado.
Problemas comuns
Não está conseguindo ingressar no domínio ?
A maioria das falhas ao tentar ingressar linux mint no domínio active directory está ligada ao DNS. O cliente não vai conseguir ingressar no domínio se não encontrar o servidor controlador de domínio.
Configure a placa de rede do cliente para usar o IP do servidor controlador de domínio como servidor DNS, assim o cliente encontrará o controlador de domínio.
Outro problema está relacionado a falta de sincronização de data e hora com o servidor AD DC. Se data e hora está um pouco divergente, sincronize a data e hora com o serviço NTP do servidor controlador de domínio.
Erro de autorização
O usuário digitou o nome do usuário do AD e senha, tudo confere e o gerenciador de login informa erro de autenticação ?
O daemon SSSD que se comunica com o AD pode está não autorizando o acesso com base no controle de acesso baseado em GPO.
Para resolver, edite o arquivo /etc/sssd/sssd.conf e inclua na seção do domínio a seguinte configuração:
ad_gpo_access_control = permissiveSalve as alterações e reinicie o sssd:
systemctl restart sssd.serviceEstá com um problema diferente ? Recomendo a leitura a documentação do SSSD para encontrar a solução.
Conclusão
Muitas Empresas e organizações governamentais usam linux nas estações de trabalho que funcionários trabalham.
E você aprendeu nesse tutorial como ingressar linux mint no domínio Active Directory executando alguns comandos, agora qualquer funcionário da empresa que trabalha pode se autenticar usando as contas de usuários do AD no computador.
Espero que o conhecimento tenha ajudado e caso tenha alguma dúvida ou quer fazer alguma sugestão deixe seu comentário.
