2019/12/09

보안장비 PDC 우분투 시스템 통합

5. 보안장비 PDC 우분투 시스템 통합
보안장비 3.2 PDC(Primary Domain Controller)은 윈도우 2003 서버처럼 동작하며,
XP, 7, 8, 8.1, Server Editions 2003/2008/2012와 같은 모든 종류의 윈도우 기반도 지원한다.

리눅스 배포판도 마찬가지로 지원을 한다.

1. 요구사항.
우분투 18.04
Winbind 기반의 Likewise Open 패키지는 13.10까지만 지원을한다.

1.1 우분투 소프트트웨어 업그레이드

2. 케노니컬 환결설정.
윈도우키 검색: software Update

2.1 소프트웨어(other Software) 탭에서 두 정식 파트너를 모두 확인한다.
체크 Canonical partners
체크 canonical Partners(source Code)
체크
체크

기본 적으로 밑에 두개만 체크 되어있다.
위에 캐노니카를 체크해준다.

케노니컬 지원 패키지 확인.
$ grep Package /var/lib/apt/lists/archive.canonical.com_ubuntu_dists_bionic_partner_binary-amd64_Packages
Package: adobe-flashplugin
Package: adobe-flash-properties-gtk
Package: adobe-flash-properties-kde
Package: google-cloud-sdk

sudo apt-get updte
13.10 까지만 지원 한다.
sudo apt-get install likewise-open-gui

3. 네트워크 설정.
IP 변경.
주소: 172.16.30.3
서브넷 마스크: 255.255.255.0
게이트웨이: 172.16.30.1

DNS 변경
172.16.1.165
172.16.30.1

3.1 테스트
ping 172.16.1.165
ping 172.16.30.1
ping infla6p.fairlineai.com

fping fairlineai.com
fping infla6p.fairlineai.com
fping gfl6sport.fairlineai.com

여러개의 아이피를 개별적으로 지정
# fping 173.194.127.95 173.194.127.79 173.194.127.88 173.194.127.87
173.194.127.95 is alive
173.194.127.79 is alive
173.194.127.88 is alive
173.194.127.87 is alive

아이피 스캔범위를 지정
# fping -s -g 173.194.127.79 173.194.127.95
173.194.127.79 is alive
173.194.127.80 is alive
173.194.127.81 is alive
173.194.127.82 is alive
173.194.127.83 is alive
173.194.127.84 is alive
173.194.127.85 is alive
173.194.127.86 is alive
173.194.127.87 is alive
173.194.127.88 is alive
173.194.127.89 is alive
173.194.127.90 is alive
173.194.127.91 is alive
173.194.127.92 is alive
173.194.127.93 is alive
173.194.127.94 is alive
173.194.127.95 is alive

네트워크 지정
# fping -g -r 3 173.194.127.0/29
173.194.127.0 is alive
173.194.127.1 is alive
173.194.127.2 is alive
173.194.127.3 is alive
173.194.127.4 is alive
173.194.127.5 is alive
173.194.127.6 is alive
173.194.127.7 is alive

요청에 응답한 아이피리스트 파일로 저장
# fping -g -r 3 173.194.127.0/29 > CHK_PING.TXT

파일로 지정된 아이피 응답 확인
# cat CHK_PING.TXT
naver.com
daum.net
google.com
yahoo.com
smileserv.com

# fping -a -f CHK_PING.TXT
smileserv.com
google.com
yahoo.com

3.2. 호스트 확인.
$ hostname
gfl6sport

$ cat /etc/hostname
gfl6sport

4. 보안장비 PDC 우분투 데스크톱 가입.
4.1 Active Directory 구성

4.1.1 CLI 방식 설정
CLI
ex> sudo domainjoin-cli join domain_name domain_administrative_user

실 사용.
sudo domaijoin-cli join fairlineai.com pdcadmin
패스워드 입력:

4.1.2 GUI 방식  설정
$ sudo domainjoin-gui

4.1.2.1 Active Directory Membership
Name and Domain

Computer name: 사용 컴퍼터 이름 ubuntu
Domain: fairline.com
체크: Enable default user name prefix: FAIRLINE

Orjanizational Unit
Please select the OU to which this computer should be joined.
Nested OUs should be separated by a forward-slash.

체크: Default(computers or previously-joined OU)

Advanced
체크: Modify hosts file(/etc/hosts)
Joine Domain 클릭

4.1.2.2 팝업창 Authentication Required
Joining a machine to Active Directory requireds credentials for a Windows user with
adminstrative privileges in the target domain.

Credentials
User: pdcadmin
password:
OK

성공 팝업창 확인

5. PDC 확인
5.1 보안 PDC
Users and Computers -> Manage 이동 -> Computers
UBUNTU

5.2 윈도우 10 PDC
Active Directory 사용자 및 컴퓨터 실행
fairlineai.com -> Computers 이동
UBUNTU 확인

6. 도메인 컨트롤 로그인
su - fairline.com\pdcadmin
password:

7. 윈도우 메니저 수정.
GUI 로그인 창을 통해 로그온 활성화.

vi /etc/lightdm/lightdm.conf.d/10-ubuuntu.conf
allow-guest=false
greeter-show-manual-login=true

전체 파일 내용.
[SeatDefaults]
user-session=ubuntu

# disable guest login
allow-guest=false

# enable ser login manually
greeter-show-manual-login=true


7.1 로그온
사용자 계정 로그아웃
GUI 화면 창 입력
login: fairlineai\pdcadmin

7.2 기본 프로필 확인
/home/likewise-open/DOMAIN_NAME/domain_user

8 CLI 로그인
$ su - fairline\\pdcadmin
password:

8.1 SSH 원격 로그인
domain_name\domain_user

login as: fairlineai\pdcadmin

linuxlee@ubuntu:~$

9 사용자 경로.
Active Diectory 사용자와, 우분투 시스템의 사용자는 홈경로가 나르다.
UID 및 Group 에 대한 정보가 다르기 때문이다.

10 루트 권한 부여.
 sudo vi /etc/sudoers

DOMAIN_NAME\domain_administrative_user    ALL=(ALL)  ALL
the_same_domain_administrative_user   ALL=(ALL)  ALL

실재 적용 내용
root 아래
FAIRLINE\\pdcadmin ALL=(ALL:ALL) ALL

==================
14.04 PDC 통합
==================
우분투 14.04(Trusty Tahr)를 보안장비 PDC에 통합.

13.10에 사용했던 일부 소프트웨어 패키지의 기능이 변경되었다.
like-open 패키지에 대한 지원을 중단.

1 단계: 종속성 패키지 다운로드
1. 패키지를 수동으로 다운로드한다.

likewise-open:
libglade2-0
likewise-open-gui

다운로드 명령어
$ wget http://de.archive.ubuntu.com/ubuntu/pool/main/l/likewise-open/likewise-open_6.1.0.406-0ubuntu10_amd64.deb
$ wget http://de.archive.ubuntu.com/ubuntu/pool/main/libg/libglade2/libglade2-0_2.6.4-1ubuntu3_amd64.deb
$ wget http://de.archive.ubuntu.com/ubuntu/pool/universe/l/likewise-open/likewise-open-gui_6.1.0.406-0ubuntu10_amd64.deb

2 설치 명령어
$ sudo dpkg -i likewise-open_6.1.0.406-0ubuntu10_amd64.deb
$ sudo dpkg -i libglade2-0_2.6.4-1ubuntu3_amd64.deb
$ sudo dpkg -i likewise-open-gui_6.1.0.406-0ubuntu10_amd64.deb

2 단계: 보안장비 PDC 14.04 통합.
3. GUI를 사용하려면 터미널에서 다음 명령을 실행
sudo domainjoin-gui

Active Directory Membership
Name and Domain

computer name: ubuntu-desktop
domain: mydomain.com

User names are usually prefixed with the name of the domain.
You can allow bre user names by specifying a default prefix.

체크: Enable default user name prefix: MYDOMAIN

orfanizational Unit
Please select the OU to which this computer shoud be joind.
Nested OUs should be seprated by a forward-slash.

선택: default (computers or previously-joined OU)

Advanced
체크: modify hosts file(/etc/hosts)

Join Domain 선택

팝업창 Authentication Required
Joining a machine to Active Directory requireds credentials for a Windows user with
adminstrative privileges in the target domain.

Credentials
User: linuxle
password:
OK

성공 팝업창 확인

4. 명령어로 확인.
sudo domainjoin-cli join mydomain.com linuxlee

5. 우분투 14.04 시스템 재부팅
재부팅 후 보안장비 관리자 인터페이스 이동.
사용자 및 컴퓨터 모듈에 확인 가능

보안장비 PDC 상태 확인 명령어.
lw-get-status

3 단계: 도메인 자격 증명으로 로그인
우분투 14.04는 로그온 화면에서 내부 시스템 사용자만 허용한다.
Active Directory에 사용자를 로그인 할 수 있는 기능을 제공하지 않는다.

6. 우분투 14.04 로그온 활성화.

수정해야 할 파일
/usr/share/lightdm.conf.d/50-ubuntu.conf

allow-guest=false          ## If you want to disable Guest login
greeter-show-manual-login=true  ## Enables manual login field

여기 까지 설정 한 다음 재부팅

7. 재부팅 후 로그인을 선택하고 Active Directory 사용자 자격을 증명 해준다.

domain_name\domain_user
domain_name.tld\domain_user
domain_user

GUI 화면에
linuxlee
패스워 입력

8. 터미널 CLI 로그인 하기
$ su - domain_name\domain_user
$ su - domain_user

실제 적용.
$ su - mydomain\\linuxlee
password:

Active Diectory 사용자는 홈경로, UID 및 Group 에 대한 정보가 내부 우분투 사용자와는 다르다.

명령어 id로 확인하면된다.


4 단계: Active Directory 관리 권한 활성화.
9. 루트 권한 부여
$ sudo usermod -a -G sudo AD_administrative_user

실제 사용
$ sudo usermod -a -G sudo linuxlee

vi /etc/sudoers
%sudo ALL=(ALL:ALL) ALL

5 단계: 도메인 탈퇴
10. GUI 탈티
$ sudo domainjoin-gui

Likewise AD Settings
Active Directory Membership

Status: Joined
Computer Name: ubuntu-desktop
domain: MYDOMAIN.COM

reave domain 선택

명령어로 하려만 다음 명령어 사용.
$ sudo domainjoin-cli leave domain_name

실제 사용 명령어
sudo domainjoin-cli leave mydomain.com

==================
18.04 PDC 통합
==================

18.04 Active directory domain

네트워크 설정

sudo apt update
sudo apt-get install fping

우분투 데스크톱에서 Active Directory 도메인 접근 검사.
dig -t SRV _ldap._tcp.fairlineai.com | grep -A2 "ANSWER SECTION"

메세지 내용 확인 후 테스트
ping fairlineai.com
ping infla6p.fairlineai.com
ping gfl6sport.fairlineai.com

fping fairlineai.com
fping infla6p.fairlineai.com
fping gfl6sport.fairlineai.com

sudo apt-get -y install realmd sssd sssd-tools samba-common krb5-user packagekit samba-common-bin samba-libs adcli ntp

sudo vi /etc/ntp.conf
gfl6sport.fairlineai.com

sudo service ntp restart

sudo vi /etc/realmd.conf

[users]
default-home = /home/%D/%U
default-shell = /bin/bash
[active-directory]
default-client = sssd
os-name = Ubuntu Desktop Linux
os-version = 14.04
[service]
automatic-install = no
[fairlineai.com]
fully-qualified-names = no
automatic-id-mapping = yes
user-principal = yes
manage-system = no

도메인 등록
sudo kinit administrator@fairlineai.com

비밀번호 입력 :

우분투 머신, 도메인 추가.
sudo realm --verbose join fairlineai.com \
--user-principal=UBUNTUVMACHINE/administrator@FAIRLINEAI.COM --unattended

vi /etc/sssd/sssd.conf

찾아서 주석 처리 후 변경.
# access_provider = simple
access_provider = ad

sudo service sssd restart

새로운 사용자 홈디렉토리 자동 생성.
sudo vi /etc/pam.d/common-session
...
session required pam_unix.so
session optional pam_winbind.so
session optional pam_sss.so
session optional pam_systemd.so
session required pam_mkhomedir.so skel=/etc/skel/ umask=0077
# end of pam-auth-update config

사용자 테스트
id domainuser(test1)

uid=951601106(test1) gid=951600513(domain users) groups=951600513(domain users)

sudo vi /etc/lightdm/lightdm.conf
[SeatDefaults]
allow-guest=false
greeter-show-manual-login=true

댓글 없음:

댓글 쓰기