OK, got it…
nano /etc/lightdm/lightdm.conf
[SeatDefaults]
allow-guest=false
greeter-show-manual-login=true
to be able to logon on GUI after ad join on a xUbuntu 17.10 Desktop…
OK, got it…
nano /etc/lightdm/lightdm.conf
[SeatDefaults]
allow-guest=false
greeter-show-manual-login=true
to be able to logon on GUI after ad join on a xUbuntu 17.10 Desktop…
See Step 11 in the HOWTO. What you have is not quite the same. If you try to use the same configuration does it not work? If not, I will update the HOWTO so that it shows the slight change for 17.10. Thanks!
I can try that and give you a feedback…
That’s a great howto! Very detailed post, thanks for posting it.
Hi there!
Great HowTo! Thanks @Kyle_Hayes for putting effort into compiling this instruction.
I’ve managed to get Ubuntu 32 bit 16.04 LTS work like a breeze.
However I’, facing a problem with 64 bit 16.04 LTS. I can join the AD, logon via terminal and access all my files. No problem. But when I logon via lightdm some interesting (?) things happens. The desktop appears with all the files I have on it, as normally. But the launcher to the left shows up for less than a second an then disappears!? In syslog I get this error message, which I suspect is related:
Blockquote (update-manager:7337): dconf-WARNING **: failed to commit changes to dconf: GDBus.Error:org.gtk.GDBus.UnmappedGError.Quark._g_2dfile_2derror_2dquark.Code2: Failed to rename file ‘/home/name@ad.server/.config/dconf/user.BRVNFZ’ to ‘/home/name@ad.server/.config/dconf/user’: g_rename() failed: Permission denied > Blockquote
Then I try a freshly installed Ubuntu 64 bit 17.10 with no success unfortunately. I cannot start sssd.service and systemctl status sssd gives this message:
Blockquote sssd[1504]: tkey query failed: GSSAPI error: Major = Unspecified GSS failure Minor code may provide more information, Minor = Server not found in Kerberos database > Blockquote
Any ideas on what might be wrong? Have I misconfigured my nethserver? All suggestions will be highly appreciated since I for now have to keep my old Zentyal server, which I would prefer to ditch as soon as possible.
Kind regards
/Mathias
Ok, let’s move forward here
It does not work for me.
The following manual command is executed correctly:
mount -t cifs -o username=abc //server/abc@ad.domain.de /home/abc.
The home directory of abc gets mounted.
In pam_mount.conf.xml I have:
’<volume user="*" fstype=“cifs” server=“server” path="%(USER)" mountpoint="/home/%(USER)" 'options=“nosuid,nodev,vers=1.0” />
The resulting pam_mount command is:
mount ‘-t’ ‘cifs’ ‘//server/abc@ad.domain.de’ '/home/abc ‘-o’ 'username=abc@ad.domain.de,uid=xxx,gid=xxx,nosuid,nodev,
vers=1.0’
This command fails. The server reports:
'domain_client_validate: unable to validate password for user abc@ad.domain.de in domain LAN to Domain controller NSDC-xxx.AD.DOMAIN.DE. Error was NT_STATUS_WRONG_PASSWORD.'
In fact the user can login to this server; ‘abc@ad.domain.de’ works as well as ‘abc’ with the same password.
What the hell …?
/etc/security/pam_mount.conf.xml:
<!-- Volume definitions -->
<volume user="*" sgrp="domain users@example.org" fstype="cifs" server="neth7" path="%(DOMAIN_USER)" mountpoint="~/nethome" options="nosuid,nodev" />
Change the servername (neth7) and domainname (example.org). The rest should be OK…
You mean lightdm.conf ? Sorry, I stoppt working on 17.10 because 18.04 b1 is out and I tought It is time to change…
How is 18.04 going? In a couple of months (I let other people be the testers) I will be moving all my 16.04 clients to 18.04.
No problems with 18.04 b1, my HowTo to join the NS AD is working in the exact same way as for 16.04… In a month we should get the stable version…
Oh, good to know!
Are there any changes to the HOWTO at all?
Nice!
Yes, if I have time I will play a little bit more… I am interested in how to setup a real rollout, you know thunderbird accounts and so on…
Installing on an Ubuntu 16.04 64-bit Server
I hit a snag during install:
Setting up sssd-common (1.13.4-1ubuntu1.10) ...
Creating SSSD system user & group...
adduser: Warning: The home directory `/var/lib/sss' does not belong to the user you
are currently creating.
Warning: found usr.sbin.sssd in /etc/apparmor.d/force-complain, forcing complain mode
Warning failed to create cache: usr.sbin.sssd
Job for sssd.service failed because the control process exited with error code. See
"systemctl status sssd.service" and "journalctl -xe" for details.
sssd.service couldn't start.
So after install,
realm discover
realm: Couldn't discover realms: Not authorized to perform this action
What to do?
Tutorial sobre este assunto para colaborar compartilhando ao público falante do português. Por favor usem um tradutor.
TUTORIAL PARA CONFIGURAR O NETHSERVER 7 (NS7) COMO SERVIDOR DE DOMINIO ACTIVE DIRECTORY
1. Muitas das informações neste tutorial são oriundas das documentações da Microsoft para a gerência de um ambiente com ACTIVE DIRECTORY(AD). Use o navegador Google Chrome para acessar os links com opção de tradução;.
2. Baixe o manual ( bem atualizado por sinal ) disponível em http://docs.nethserver.org/en/v7/ na seção [Read the Docs] ou [Leia o documento] selecionando a linguagem [es] e a versão do NS [7] clicando em PDF ou HTML (neste, abra o arquivo index.html dentro do arquivo zip, que pode ser traduzido no Google Chrome). Leia-o, será sua bíblia neste assunto;
3. Faça o planejamento dos dados necessários. Defina os endereços IP do NS7 e do servidor do Active Directory. Defina um nome de host exclusivo para o NS7, um nome do domínio, o nome FQDN exclusivo (nome do host+nome do domínio ) para o NS7 e um nome exclusivo para o servidor de domínio com AD. Defina também, as senha do root e do administrator. O nome de host do NS7, servidor real, deve ser único e diferente do nome de host do servidor AD, servidor virtual, cujo IP também é diferente, conforme instruções no manual acima;
4. Baixe a ISO do NS7 e use a documentação do link http://docs.nethserver.org/en/v7/ para instalar. Configure o endereço IP de rede do NS7 para acessar o seu firewall/roteador. No firewall/OpnSense bloqueie o acesso para todos os IP's e autorize o tráfego somente para o IP do NS7;
5. Use a documentação disponível em http://docs.nethserver.org/en/v7/packages.html para atualizar e baixar o pacote de linguagem [PORTUGUÊS]; faça o logoff e refaça o login trocando a opção de linguagem de inglês para português;
6. Selecione a opção de [Provedor de contas] na página WEB de administração do NS7. Selecione [Active Directory] e logo a seguir [Criar um novo domínio] fornecendo os dados solicitados terminando o provisionamento do serviço;
7. Ative o servidor de horas com o ntp server sugerido e configure o servidor de DHCP. A sincronização dos horários entre o servidor e o cliente é fundamental e o NS7 deve ser configurado como servidor de hora pelo DHCP. Assim, configure o servidor DHCP, nas opções avançadas: Gateway IP [com o mesmo IP de administração do Nethserver]; Servidores de DNS [IP informado durante o provisionamento do servidor Active Directory]; Endereço WINS [idem anterior]; Servidores NTP [idem Gateway IP];
8. Crie uma conta de usuário dedicada no AD e defina uma senha complexa que não expira para ela, especificamente para realizar a tarefa de JOIN ao AD;
9. Para logar-se no AD com o UBUNTU 16.04, os usuários também devem ser criados com senhas sem expiração e na sequência, deve-se realizar o login no domínio; logo em seguida, realizar o logoff e a seguir reativar a opção de expiração. A manutenção das futuras senhas será por conta do usuário via utilitário específico;
10. O gerenciamento poderá ser realizado por meio de uma estação MS Windows (no mínimo versão PRO) anexada ao domínio através do utilitário RSAT da Microsoft. No entanto, o gerenciamento via interface WEB do NS7 também é muito eficiente, principalmente nas seções Usuarios e Grupos, Proxy Web e Filtros;
11. Neste tutorial, a configuração prevê somente uma placa de rede, que se transforma em uma BRIDGE ao se provisionar o AD. O proxy, neste ambiente, deve ser ativado em função deste servidor ser o gateway informado por DHCP aos clientes. Os filtros personalizados e de conteúdo podem ser criados para grupos ou usuários específicos, com todos os recursos de ativação por programação de semana/horário, agindo transparentemente no navegador, em função do usuário logado na estação;
12. A instalação do NextCloud também facilita o backup centralizado, substituindo com vantagens o servidor SMB/CIFS para redes Windows. Porém, mantenha o usuário admin do NS7, no AD bloqueado, utilizando a senha padrão do site, possibilitando administrar todos os recursos do Nextcloud como a definição de uma cota default, que vigora para todos os usuários do AD.
TUTORIAL PARA O UBUNTU 16.04 AUTENTICAR-SE NO SERVIDOR DE DOMÍNIO PROVISIONADO COM NETHSERVER 7
I. Todas as estações clientes do AD deverão estar configuradas para receber o IP via DHCP, pois isto atualiza o DNS do servidor com o nome da estação, facilitando a adesão ao domínio;
II. Lembre-se de ativar [Todos os usuários podem podem conectar a esta rede] na guia Geral, da janela [Editando (nome da rede)], principalmente se for WIFI, permitindo que seja realizado uma conexão ao servidor DHCP antes mesmo de se realizar o login no AD;
III. Na ação de JOIN no cliente UBUNTU (cujo nome da estação/host deve ter ate 15 caracteres - vide documentação da Microsoft sobre o AD), informar o [Nome de dominio DNS] disponível na aba [Fornecedor de contas ] locais do ACTIVE DIRECTORY para o seu domínio, na página de administração do Nethserver;
IV. Há dois pacotes que provêem acesso ao AD instaláveis no UBUNTU 16.04. O PBIS-open e o C-I-D. Este último, mais intuitivo em relação ao recursos oferecidos ao usuário final, é também o escolhido para realizar a conexão ao AD;
V. O manual do C-I-D disponivel em https://sourceforge.net/projects/c-i-d/files/docs/usermanual.pdf provê todas as informações para a instalação na estação UBUNTU, contendo todas as orientações para que uma instalação padrão a partir de uma ISO baixado do site ubuntu.com, seja anexada ao domínio e seja totalmente funcional, porém, algumas vezes apresenta-se uma advertência que pode ser ignorada;
VI. No caso específico deste laboratório, foi usado um script que customiza o ISO padrão baixado do site do ubuntu realizando atualizações, instalação de drivers, a remoção/instalação de diversas ferramentas inúteis/úteis ao ambiente corporativo. O script também configura a página inicial, endereço do proxy e tipo, no mozilla firefox;
VII. A configuração do nextcloud-client, com o fornecimento do usuário e senha, permite que o conteúdo da pasta Nextcloud do usuário logado esteja sempre sincronizado com o NS7, aliado aos recursos avançados de versionamento, compartilhamento com controles altamente granulares e auditabilidade com log de atividades, disponível na interface web do usuário.
Planejamento e passo-a-passo da instalação do NethServer 7(NS7) para provisionamento de um servidor de internet via proxy e autenticação em domínio com Active Directory(AD)
1. Definir e anotar um nome de host do servidor NS7;
2. Definir e anotar um nome do domínio;
3. Definir e anotar um nome FQDN;
4. Definir e anotar um nome para o servidor de domínio com AD;
5. Definir e anotar um senha do root;
6. Definir e anotar um senha do administrator;
7. Definir e anotar um endereço IP exclusivo para o servidor NS7, de acordo com a faixa de rede recebida de sua matriz, se for implementar uma intranet, ou VPN;
8. Definir e anotar um endereço IP exclusivo para o servidor virtual do Active Directory, que será instalado num container;
9. Buscar com o administrador do firewall/gateway o endereço IP do gateway da sua rede;
10. Caso sua organização possua um link dedicado para uma intranet corporativa, procure saber a faixa de rede dos endereços IPs desta intranet (geralmente 10.0.0.0), a máscara de rede da intranet (geralmente 255.0.0.0) e o endereço IP do roteador para esta rede corporativa. Anote-os para a criação de uma rota estática para alcançar todos os endereços da intranet via endereço IP do gateway o qual fornece conectividade com toda intranet corporativa;
11. Baixar a ISO estável do NS7, testar a integridade com o MD5SUM;
12. Baixar o manual conforme tutorial e realizar a leitura do mesmo;
13. Crie uma máquina virtual ou monte um host físico com uma placa de rede e inicie a instalação do NS7;
14. Durante a instalação, faça as configurações de rede com IP estático, informe o gateway, informe a senha do root e o tipo de teclado;
15. Continue com a instalação e aguarde o fim do processo;
16. De uma estação de administração remota, abra o navegador WEB, digite o mesmo endereço IP (p7) do servidor NS7 informado na instalação para acessar a página de teste do servidor HTTP Apache;
17. Clique no link [Server Manager] no portal de teste;
18. O aviso de página não segura será exibido, clique em [AVANÇADO] e logo abaixo em [ir para {IP do servidor} não seguro] ou [adicionar exceção] no mozilla;
19. Na nova página, digite [root] para usuário e a senha que foi definida para a instalação(p5);
20. Complete o Wizard da instalação, no primeiro acesso informando o nome FQDN (p3) do host (nome do servidor NS7 + ponto + nome do dominio). Também informe o [Time zone] da sua região geográfica. Altere a porta ssh, se for o caso. Prossiga e aplique as configurações;
21. A página de administração do servidor será mostrada;
22. Selecione a opção [Domains accounts], selecione o botão do provedor de contas de usuário [Active Directory], clique em [Create a new domain] aceite ou altere os dados pré-configurados e forneça o endereço IP (p8) do controlador de dominio;
23. Uma advertência para configurar o Admin user em uma faixa amarela será apresentada. Não configure a senha [Enable admin user] se for usar o NEXTCLOUD;
24. Acesse no menu lateral a opção [Software center];
25. Clique na aba [Updates] e clique em [DOWNLOAD AND INSTALL];
26. Clique na aba [Available] e como sugestão, para uma rede corporativa, selecione os pacotes [Backup] [Instant messaging] [Portuguese language] [Web filter] [Web proxy]. Pesquise os recursos disponibilizados por cada pacote para criar seu perfil de pacotes;
27. Caso queira utilizar o NEXTCLOUD também selecione [Nextcloud] no item acima, e após aplicado e instalado os pacotes e já na página de gerenciamento do NS7, clique na opção [Aplicativos] e surgirá um quadro nomeado [Nextcloud]. Clique no icone [Aberto] para iniciar outra aba de administração do nextcloud, informando o usuário admin e a senha de administração default da instalação encontrada em http://docs.nethserver.org/en/v7/nextcloud.html;
28. Na página do nextcloud, clique no ícone circular (contendo a letra A, de admin) e na lista suspensa, selecione a opção [Usuários];
29. Na nova página de administração de usuários, surgirá no canto inferior esquerdo uma engrenagem, dando acesso às [Configurações] de limite para [Cota Padrão] dos novos usuários(estas opções são ocultadas se o usuário admin estiver habilidado, conforme a advertência). Mais configurações específicas, mostram o poder de controle deste servidor de arquivos. Explore;
30. Definido a cota padrão, no menu lateral de administração do NS7, acesse a opção [Usuarios e grupos] e crie os grupos (internetALL, SEMvideos, SOsitesGOV, SOsitesBR, SOedu, SOintranet, SOredeLOCAL, TEMvpn, etc ) e os usuários para logar no AD. O proxy configurado no modo autenticado fica transparente bloqueando o acesso aos sites de acordo com o perfil do usuario logado.
31. Configure o proxy como autenticado, ative o bloqueio de http e https. Configure o Web filter para gerenciar os acessos;
32. Caso tenha um gateway para intranet corporativa, crie uma rota estática para a rede desta intranet e informe o IP do gateway para esta intranet, defina como DNS primário, o da intranet e como o secundário, o do roteador (da internet).
Great howto(s)! I just put them to Google translator. Maybe we should open a new howto topic for it.