HOWTO for Neth 7 as AD PDC and file server with Ubuntu and Windows clients

Ping? @fausp, any luck with the config? Did that work for 17.10?

You mean lightdm.conf ? Sorry, I stoppt working on 17.10 because 18.04 b1 is out and I tought It is time to change…

How is 18.04 going? In a couple of months (I let other people be the testers) I will be moving all my 16.04 clients to 18.04.

No problems with 18.04 b1, my HowTo to join the NS AD is working in the exact same way as for 16.04… In a month we should get the stable version…

Oh, good to know!

Are there any changes to the HOWTO at all?

NO - Screenshots

But I only tested it with xubuntu 18.04 b1

Nice!

Yes, if I have time I will play a little bit more… I am interested in how to setup a real rollout, you know thunderbird accounts and so on…

Installing on an Ubuntu 16.04 64-bit Server

I hit a snag during install:

Setting up sssd-common (1.13.4-1ubuntu1.10) ...
Creating SSSD system user & group...
adduser: Warning: The home directory `/var/lib/sss' does not belong to the user you 
are currently creating.
Warning: found usr.sbin.sssd in /etc/apparmor.d/force-complain, forcing complain mode
Warning failed to create cache: usr.sbin.sssd
Job for sssd.service failed because the control process exited with error code. See 
"systemctl status sssd.service" and "journalctl -xe" for details.
sssd.service couldn't start.

So after install,

realm discover
realm: Couldn't discover realms: Not authorized to perform this action

What to do?

Tutorial sobre este assunto para colaborar compartilhando ao público falante do português. Por favor usem um tradutor.

TUTORIAL PARA CONFIGURAR O NETHSERVER 7 (NS7) COMO SERVIDOR DE DOMINIO ACTIVE DIRECTORY

1. Muitas das informações neste tutorial são oriundas das documentações da Microsoft para a gerência de um ambiente com ACTIVE DIRECTORY(AD). Use o navegador Google Chrome para acessar os links com opção de tradução;.
2. Baixe o manual ( bem atualizado por sinal ) disponível em http://docs.nethserver.org/en/v7/ na seção [Read the Docs] ou [Leia o documento] selecionando a linguagem [es] e a versão do NS [7] clicando em PDF ou  HTML (neste, abra o arquivo index.html dentro do arquivo zip, que pode ser traduzido no Google Chrome). Leia-o, será sua bíblia neste assunto;
3. Faça o planejamento dos dados necessários. Defina os endereços IP do NS7 e do servidor do Active Directory. Defina um  nome de host exclusivo para o NS7, um nome do domínio, o nome FQDN exclusivo (nome do host+nome do domínio ) para o NS7 e um nome exclusivo para o servidor de domínio com AD. Defina também, as senha do root e do administrator. O nome de host do NS7, servidor real,  deve ser único e diferente do nome de host do servidor AD, servidor virtual, cujo IP também é  diferente, conforme instruções no manual acima;
4. Baixe a ISO do NS7 e  use a documentação do link  http://docs.nethserver.org/en/v7/ para instalar. Configure o endereço IP de  rede do NS7 para acessar o seu firewall/roteador.  No firewall/OpnSense bloqueie o acesso para todos os IP's e autorize o tráfego somente para o IP do NS7;
5.  Use a documentação disponível em http://docs.nethserver.org/en/v7/packages.html para atualizar e baixar o pacote de linguagem [PORTUGUÊS]; faça o logoff e refaça o login trocando a opção de linguagem de inglês para português;
6. Selecione a opção de [Provedor de contas] na página WEB de administração do NS7. Selecione  [Active Directory] e logo a seguir [Criar um novo domínio] fornecendo os dados solicitados terminando o provisionamento do serviço;
7. Ative o servidor de horas com o ntp server sugerido e configure o servidor de DHCP. A sincronização dos horários entre o servidor e o cliente é fundamental e o NS7  deve ser configurado como servidor de hora pelo DHCP. Assim, configure o servidor DHCP,  nas opções  avançadas: Gateway IP [com o mesmo IP de administração do Nethserver]; Servidores de DNS [IP informado durante o provisionamento do servidor Active Directory]; Endereço WINS [idem anterior]; Servidores NTP [idem Gateway IP];
8. Crie uma conta de usuário dedicada no AD e defina uma senha complexa que não expira para ela, especificamente para realizar a tarefa de JOIN ao AD;
9. Para logar-se no AD com o  UBUNTU 16.04, os usuários também devem ser criados com senhas sem expiração e na sequência, deve-se realizar o login  no domínio; logo em seguida, realizar o logoff e a seguir  reativar a opção de expiração. A manutenção das futuras senhas será por conta do usuário via utilitário específico;
10. O gerenciamento poderá ser realizado por meio de uma estação MS Windows (no mínimo versão PRO) anexada ao domínio através do utilitário RSAT da Microsoft. No entanto, o gerenciamento via interface WEB do NS7 também é muito eficiente, principalmente nas seções Usuarios e Grupos, Proxy Web e Filtros;
11. Neste tutorial,  a configuração prevê somente uma placa de rede, que se transforma em uma BRIDGE ao se provisionar o AD. O proxy, neste ambiente, deve ser ativado em função deste servidor ser o gateway informado por DHCP aos clientes. Os filtros personalizados e de conteúdo podem ser criados para grupos ou usuários específicos, com todos os recursos de ativação por programação de semana/horário, agindo transparentemente no navegador, em função do usuário logado na estação;
12. A instalação do NextCloud também facilita o backup centralizado, substituindo com vantagens o servidor SMB/CIFS para redes Windows. Porém, mantenha o usuário admin do NS7, no AD bloqueado, utilizando a senha padrão do site, possibilitando administrar todos os recursos do Nextcloud como a definição de uma cota default, que vigora para todos os usuários do AD.

TUTORIAL PARA O UBUNTU 16.04 AUTENTICAR-SE NO SERVIDOR DE DOMÍNIO PROVISIONADO COM NETHSERVER 7

I. Todas as estações clientes do AD deverão estar configuradas para receber o IP via DHCP, pois isto atualiza o DNS do servidor com o nome da estação, facilitando a adesão ao domínio;
II. Lembre-se de ativar [Todos os usuários podem podem conectar a esta rede] na guia Geral, da janela [Editando (nome da rede)], principalmente se for WIFI, permitindo que seja realizado uma conexão ao servidor DHCP antes mesmo de se realizar o login no AD;
III. Na ação de JOIN no cliente UBUNTU (cujo nome da estação/host deve ter ate 15 caracteres - vide documentação da Microsoft sobre o AD), informar o [Nome de dominio DNS] disponível  na aba [Fornecedor de contas ] locais do ACTIVE DIRECTORY para o seu domínio, na página de administração do Nethserver;
IV. Há dois pacotes que provêem acesso ao AD instaláveis no UBUNTU 16.04. O PBIS-open e o C-I-D. Este último, mais intuitivo em relação ao recursos oferecidos ao usuário final, é também o escolhido para realizar a conexão ao AD;
V. O manual do C-I-D  disponivel em https://sourceforge.net/projects/c-i-d/files/docs/usermanual.pdf provê todas as informações para a instalação na estação UBUNTU, contendo todas as orientações para que uma instalação padrão a partir de uma ISO baixado do site ubuntu.com, seja anexada ao domínio e seja totalmente funcional, porém, algumas vezes apresenta-se uma advertência que pode ser ignorada;
VI. No caso específico deste laboratório, foi usado um script que customiza o ISO padrão baixado do site do ubuntu realizando atualizações, instalação de drivers, a remoção/instalação de  diversas ferramentas inúteis/úteis ao ambiente corporativo. O script também configura a página inicial, endereço do proxy e tipo, no mozilla firefox;
VII. A configuração do nextcloud-client, com o fornecimento do usuário e senha, permite que o conteúdo da pasta Nextcloud do usuário logado esteja sempre sincronizado com o NS7, aliado aos recursos avançados de versionamento, compartilhamento com controles altamente granulares e auditabilidade com log de atividades, disponível na interface web do usuário.

Planejamento e passo-a-passo da instalação do NethServer 7(NS7) para provisionamento de um servidor de internet via proxy e autenticação em domínio com Active Directory(AD)

1. Definir e anotar um nome de host do servidor NS7;
2. Definir e anotar um nome do domínio;
3. Definir e anotar um nome FQDN;
4. Definir e anotar um nome para o servidor de domínio com AD;
5. Definir e anotar um senha do root;
6. Definir e anotar um senha do administrator;
7. Definir e anotar um endereço IP exclusivo para o servidor NS7, de acordo com a faixa de rede recebida de sua matriz, se for implementar uma intranet, ou VPN;
8. Definir e anotar um endereço IP exclusivo para o servidor virtual do Active Directory, que será instalado num container;
9. Buscar com o administrador do firewall/gateway o endereço IP do gateway da sua rede;
10. Caso sua organização possua um link dedicado para uma intranet corporativa, procure saber a faixa de rede dos endereços IPs desta intranet (geralmente 10.0.0.0), a máscara de rede da intranet (geralmente 255.0.0.0) e o endereço IP do roteador para esta rede corporativa. Anote-os para a criação de uma rota estática para alcançar todos os endereços da intranet via endereço IP do gateway o qual fornece conectividade com toda  intranet corporativa;
11. Baixar a ISO estável do NS7, testar a integridade com o MD5SUM;
12. Baixar o manual conforme tutorial e realizar a leitura do mesmo;
13. Crie uma máquina virtual ou monte um  host físico com uma placa de rede e inicie a instalação do NS7;
14. Durante a instalação, faça as configurações de rede com IP estático, informe o gateway, informe a senha do root e o tipo de teclado;
15. Continue com a instalação e aguarde o fim do processo;
16. De uma estação de administração remota, abra o navegador WEB, digite o mesmo endereço IP (p7) do servidor NS7 informado na instalação para acessar a página de teste do servidor HTTP Apache;
17. Clique no link [Server Manager] no portal de teste;
18. O aviso de página não segura será exibido, clique em [AVANÇADO] e logo abaixo em [ir para {IP do servidor} não seguro] ou [adicionar exceção] no mozilla;
19. Na nova página, digite [root] para usuário e a senha que foi definida para a instalação(p5);
20. Complete o Wizard da instalação, no primeiro acesso informando o nome FQDN (p3) do host (nome do servidor NS7 + ponto + nome do dominio). Também informe o [Time zone] da sua região geográfica. Altere a porta ssh, se for o caso. Prossiga e aplique as configurações;
21. A página de administração do servidor será mostrada;
22. Selecione a opção [Domains accounts], selecione o botão do provedor de contas de usuário [Active Directory], clique em [Create a new domain] aceite ou altere os dados pré-configurados e forneça o endereço IP (p8) do controlador de dominio;
23. Uma advertência para configurar o Admin user em uma faixa amarela será apresentada. Não configure a senha [Enable admin user] se for usar o NEXTCLOUD;
24. Acesse no menu lateral a opção [Software center];
25. Clique na aba [Updates] e clique em [DOWNLOAD AND INSTALL];
26. Clique na aba [Available] e como sugestão, para uma rede corporativa, selecione os pacotes [Backup] [Instant messaging] [Portuguese language] [Web filter] [Web proxy]. Pesquise os recursos disponibilizados por cada pacote para criar seu perfil de pacotes;
27. Caso queira utilizar o NEXTCLOUD também selecione [Nextcloud] no item acima,  e após aplicado e instalado os pacotes e já na página de gerenciamento do NS7, clique na opção [Aplicativos] e surgirá um quadro nomeado [Nextcloud]. Clique no icone [Aberto] para iniciar outra aba de administração do nextcloud, informando o usuário admin e a senha de administração default da instalação encontrada em http://docs.nethserver.org/en/v7/nextcloud.html;
28. Na página do nextcloud, clique no ícone circular (contendo a letra A, de admin) e na lista suspensa, selecione a opção [Usuários];
29. Na nova página de administração de usuários, surgirá no canto inferior esquerdo uma engrenagem, dando acesso às [Configurações] de limite para [Cota Padrão] dos novos usuários(estas opções são ocultadas se o usuário admin estiver habilidado, conforme a advertência). Mais configurações específicas, mostram o poder de controle deste servidor de arquivos. Explore;
30. Definido a cota padrão, no menu lateral de administração do NS7, acesse a opção [Usuarios e grupos] e crie os grupos (internetALL, SEMvideos, SOsitesGOV, SOsitesBR, SOedu, SOintranet, SOredeLOCAL, TEMvpn, etc ) e os usuários para logar no AD. O proxy configurado no modo autenticado fica transparente bloqueando o acesso aos sites de acordo com o perfil do usuario logado.
31. Configure o proxy como autenticado, ative o bloqueio de http e https. Configure o Web filter para gerenciar os acessos;
32. Caso tenha um gateway para intranet corporativa, crie uma rota estática para a rede desta intranet e informe o IP do gateway para esta intranet, defina como DNS primário,  o da intranet e como o secundário, o do roteador (da internet).
6 Likes

Great howto(s)! :sunglasses: I just put them to Google translator. Maybe we should open a new howto topic for it.

English translation

TUTORIAL TO CONFIGURE NETHSERVER 7 (NS7) AS A DOMAIN SERVER ACTIVE DIRECTORY

  1. Many of the information in this tutorial comes from Microsoft documentation for the management of an ACTIVE DIRECTORY (AD) environment. Use the Google Chrome browser to access the links with the translation option.
  2. Download the manual (well updated by signal) available at http://docs.nethserver.org/en/v7/ in the [Read the Docs] section or [Read the document] by selecting the language [es] and the NS [7] by clicking on PDF or HTML (in this, open the index.html file inside the zip file, which can be translated into Google Chrome). Read it, it will be your bible on this subject;
  3. Plan the required data. Set the IP addresses of the NS7 and the Active Directory server. Define a unique host name for NS7, a unique domain name, unique FQDN name (hostname + domain name) for NS7, and a unique name for the domain server with AD. Also define the root and administrator password. The NS7 host name, real server, must be unique and different from the host name of the AD server, virtual server, whose IP is also different, as instructed in the above manual;
  4. Download the NS7 ISO and use the documentation from http://docs.nethserver.org/en/v7/ to install. Configure the NS7 network IP address to access your firewall / router. In the firewall / OpnSense block access for all IPs and authorize traffic only to the IP of the NS7;
  5. Use the documentation available at http://docs.nethserver.org/en/v7/packages.html to update and download the [PORTUGUESE] language pack; log off and re-login by changing the language option from English to Portuguese;
  6. Select the [Account Provider] option on the NS7 Administration WEB page. Select [Active Directory] and then [Create a new domain] by providing the requested data by completing service provisioning;
  7. Activate the time server with the suggested ntp server and configure the DHCP server. Time synchronization between the server and the client is critical and the NS7 must be configured as a time server by DHCP. So, configure the DHCP server in the advanced options: IP gateway [with the same Nethserver administration IP]; DNS Servers [IP Informed During Active Directory Server Provisioning]; WINS Address [previous id]; NTP servers [IP Gateway ID];
  8. Create a dedicated user account in AD and set a complex password that does not expire for it, specifically to perform the JOIN task to AD;
  9. To log in to AD with UBUNTU 16.04, users must also be created with passwords without expiration and in the sequence, one must log in to the domain; then log off and then re-enable the expiration option. The maintenance of future passwords will be for the account of the user via specific utility;
  10. Management can be performed through an MS Windows station (at least PRO version) attached to the domain through the Microsoft RSAT utility. However, management via the NS7 WEB interface is also very efficient, especially in the Users and Groups, Web Proxy and Filters sections;
  11. In this tutorial, the configuration provides only one network adapter, which becomes a BRIDGE when you provision the AD. The proxy, in this environment, must be enabled because this server is the gateway DHCP informed to clients. Custom and content filters can be created for specific groups or users, with all activation features by week / time schedule, acting transparently in the browser, depending on the user logged into the station;
  12. The installation of NextCloud also facilitates centralized backup, effectively replacing the SMB / CIFS server for Windows networks. However, keep the admin user of NS7, in the blocked AD, using the default password of the site, allowing to manage all the features of Nextcloud as the definition of a default quota, which applies to all AD users.

TUTORIAL FOR UBUNTU 16.04 AUTHENTICATE ON PROVIDED DOMAIN SERVER WITH NETHSERVER 7

  1. All AD client stations must be configured to receive the IP via DHCP, as this updates the DNS of the server with the name of the station, making it easier to join the domain;
  2. Remember to enable [All users can connect to this network] on the General tab of the [Editing (network name)] window, especially if it is WIFI, allowing a connection to the DHCP server to be made before it even takes place login to AD;
  3. In the JOIN action on the UBUNTU client (whose hostname must be up to 15 characters - see Microsoft documentation on AD), enter the [DNS Domain Name] available on the ACTIVE DIRECTORY local [Account Provider] tab for your domain, on the Nethserver administration page;
  4. There are two packages that provide access to the installable AD in UBUNTU 16.04. PBIS-open and C-I-D. The latter, more intuitive in relation to the resources offered to the end user, is also the one chosen to make the connection to the AD;
  5. The CID manual available at https://sourceforge.net/projects/cid/files/docs/usermanual.pdf provides all the information for the installation at the UBUNTU station, containing all the guidelines for a standard installation from an ISO downloaded from the site ubuntu.com, is attached to the domain and is fully functional, however, sometimes there is a warning that can be ignored;
  6. In the specific case of this lab, we used a script that customizes the standard ISO downloaded from the ubuntu site by performing updates, installing drivers, removing / installing various useless tools useful to the corporate environment. The script also configures the home page, proxy address and type, in mozilla firefox;
  7. Nextcloud-client configuration, with user provisioning and password, allows the content of the logged-in user’s NextCloud folder to be always synchronized with NS7, coupled with advanced versioning capabilities, highly granular controls sharing, and activity log auditability , available in the user’s web interface.

Planning and step-by-step installation of NethServer 7 (NS7) for provisioning a proxy server and domain authentication with Active Directory (AD)

  1. Define and annotate a host name of the NS7 server;
  2. Define and annotate a domain name;
  3. Define and annotate a FQDN name;
  4. Define and note a name for the domain server with AD;
  5. Define and annotate a root password;
  6. Define and annotate an administrator password;
  7. Define and annotate a unique IP address for the NS7 server, according to the network range received from its array, if it is to implement an intranet, or VPN;
  8. Define and annotate a unique IP address for the Active Directory virtual server, which will be installed in a container;
  9. Search with the firewall / gateway administrator the IP address of the gateway of your network;
  10. If your organization has a dedicated link for a corporate intranet, look for the network range of the IP addresses of this intranet (usually 10.0.0.0), the intranet network mask (usually 255.0.0.0), and the IP address of the router for this corporate network. Write them down to create a static route to reach all intranet addresses via the gateway’s IP address which provides connectivity to the entire corporate intranet;
  11. Download the stable ISO of the NS7, test the integrity with the MD5SUM;
  12. Download the manual according to the tutorial and read it;
  13. Create a virtual machine or mount a physical host with a network card and start the installation of NS7;
  14. During the installation, make the network settings with static IP, inform the gateway, enter the root password and the keyboard type;
  15. Continue with the installation and wait for the end of the process;
  16. From a remote administration station, open the WEB browser, enter the same IP address (p7) of the NS7 server informed on the installation to access the Apache HTTP server test page;
  17. Click the [Server Manager] link in the test portal;
  18. The unsecured page warning will be displayed, click [ADVANCED], and then under [go to server’s unsafe IP] or [add exception] in mozilla;
  19. On the new page, type [root] for user and the password that was set for the installation (p5);
  20. Complete the Installation Wizard on the first login by entering the host name FQDN (p3) (NS7 server name + dot + domain name). Also tell the [Time zone] of your geographic region. Change the ssh port, if applicable. Proceed and apply the settings;
  21. The server administration page will be displayed;
  22. Select the [Domains accounts] option, select the user accounts provider [Active Directory] button, click [Create a new domain], accept or change the preconfigured data, and provide the IP address (p8) of the controller of domain;
  23. A warning to configure Admin user on a yellow banner will be displayed. Do not configure [Enable admin user] password if using NEXTCLOUD;
  24. Access the [Software center] option in the side menu;
  25. Click the [Updates] tab and click [DOWNLOAD AND INSTALL];
  26. Click on the [Available] tab and as a suggestion, for a corporate network, select the [Instant Messaging] [Portuguese language] [Web filter] [Web proxy] packages. Search the resources available for each package to create your package profile;
  27. If you want to use NEXTCLOUD also select [Nextcloud] in the above item, and after applying and installing the packages and already on the NS7 management page, click the [Applications] option and a frame named [Nextcloud] will appear. Click the [Open] icon to start another adminclient of nextcloud, informing the admin user and the default administration password of the installation found at http://docs.nethserver.org/en/v7/nextcloud.html;
  28. On the nextcloud page, click the circular icon (containing the letter A, from admin) and from the drop-down list, select the [Users] option;
  29. On the new user administration page, a gear will appear in the lower left corner, giving access to [Limit Settings] for [Default Quota] of new users (these options are hidden if the admin user is enabled, according to the warning) . More specific settings show the power of control of this file server. Explore;
  30. Define the default quota, in the NS7 administration side menu, go to the [Users and groups] option and create the groups (internetALL, SEMvideos, SOsitesGOV, SOsitesBR, SOedu, SOintranet, SOredeLOCAL, TEMvpn, etc.) and users to log in to AD. The proxy configured in authenticated mode becomes transparent by blocking access to the sites according to the logged-in user’s profile.
  31. Set the proxy as authenticated, enable the blocking of http and https. Configure the Web filter to manage the accesses;
  32. If you have a corporate intranet gateway, create a static route to the network of this intranet and inform the gateway IP to this intranet, set it to the primary, intranet, and secondary DNS of the router.
6 Likes

Thanks @mrmarkuz
I’ll take a look.

1 Like

Markus, it’s a pleasure to help. If you think this is more useful in the English language, feel free to do so.

2 Likes

We need someone from our Portuguese sub-community @Paulo_Rodrigues @alexcsilva @brunocarne

It’s already translated here. I think it’s understandable. GTranslator did its job well.
Maybe we should make a new howto thread out of it?

1 Like

Good idea :wink:

Hi Guys apoligies if ive stupidly missed what im looking for which i thought might be in this thread. Im totally new to active directory and want to setup nethserver as the domain controller and configure wirh rsat. I belive ive installed domain controller following docs… my windows laptop is new and has a load of rsat things installed all of which ive enabled… im now struggling to take next steps… which rsat utility should i invoke?.. my guesses lead to responses about me not being in the domain… is joining the domain a prerequisite to performing config to the domain controller… as i say im completely new to AD - ive always worked in the unix/storage world and treated this MS stuff with contempt… now paying the price!

MS are not helpful with tutorials… any step by step tutirials appreciated!

https://www.microsoft.com/en-us/download/details.aspx?id=45520

IIRC it’s called “Active Directory Users and Computers”

No, but it eases work with RSAT as you don’t need to enter credentials.

Hi there!

Happy New Year 2020 to all, and that everyone got in well!

Today I set up my daughter’s computer with Ubuntu 19.10 and wanted to integrate the computer into the AD as usual.
First there were problems with joining the domain, the problem could be fixed relatively when I made the following update (adcli).
(Https://launchpad.net/~aroth/+archive/ubuntu/ppa)

Thus, joining was possible without any problems, integration was good, and access to the network data was also possible.
When I wanted to log in with a network user, nothing happened.
No error message or anything else.
You simply come back to the login screen again and again, and no home directory is created.

If I install 18.04.3 everything works as described in the HowTo, I can update to 19.10 and everything continues to work …

What’s tweaking here?

greetings
Gerald

1 Like

playing mr obvious here:
Probably Ubuntu…

1 Like