HOWTO for Neth 7 as AD PDC and file server with Ubuntu and Windows clients


(Kyle Hayes) #21

Ping? @fausp, any luck with the config? Did that work for 17.10?


(fpausp) #22

You mean lightdm.conf ? Sorry, I stoppt working on 17.10 because 18.04 b1 is out and I tought It is time to change…


(Kyle Hayes) #23

How is 18.04 going? In a couple of months (I let other people be the testers) I will be moving all my 16.04 clients to 18.04.


(fpausp) #24

No problems with 18.04 b1, my HowTo to join the NS AD is working in the exact same way as for 16.04… In a month we should get the stable version…


(Kyle Hayes) #25

Oh, good to know!

Are there any changes to the HOWTO at all?


(fpausp) #26

NO - Screenshots

But I only tested it with xubuntu 18.04 b1


(Kyle Hayes) #27

Nice!


(fpausp) #28

Yes, if I have time I will play a little bit more… I am interested in how to setup a real rollout, you know thunderbird accounts and so on…


(Willy Bueno) #29

Installing on an Ubuntu 16.04 64-bit Server

I hit a snag during install:

Setting up sssd-common (1.13.4-1ubuntu1.10) ...
Creating SSSD system user & group...
adduser: Warning: The home directory `/var/lib/sss' does not belong to the user you 
are currently creating.
Warning: found usr.sbin.sssd in /etc/apparmor.d/force-complain, forcing complain mode
Warning failed to create cache: usr.sbin.sssd
Job for sssd.service failed because the control process exited with error code. See 
"systemctl status sssd.service" and "journalctl -xe" for details.
sssd.service couldn't start.

So after install,

realm discover
realm: Couldn't discover realms: Not authorized to perform this action

What to do?


(Arthur Aida) #30

Tutorial sobre este assunto para colaborar compartilhando ao p√ļblico falante do portugu√™s. Por favor usem um tradutor.

TUTORIAL PARA CONFIGURAR O NETHSERVER 7 (NS7) COMO SERVIDOR DE DOMINIO ACTIVE DIRECTORY

1. Muitas das informa√ß√Ķes neste tutorial s√£o oriundas das documenta√ß√Ķes da Microsoft para a ger√™ncia de um ambiente com ACTIVE DIRECTORY(AD). Use o navegador Google Chrome para acessar os links com op√ß√£o de tradu√ß√£o;.
2. Baixe o manual ( bem atualizado por sinal ) disponível em http://docs.nethserver.org/en/v7/ na seção [Read the Docs] ou [Leia o documento] selecionando a linguagem [es] e a versão do NS [7] clicando em PDF ou  HTML (neste, abra o arquivo index.html dentro do arquivo zip, que pode ser traduzido no Google Chrome). Leia-o, será sua bíblia neste assunto;
3. Fa√ßa o planejamento dos dados necess√°rios. Defina os endere√ßos IP do NS7 e do servidor do Active Directory. Defina um  nome de host exclusivo para o NS7, um nome do dom√≠nio, o nome FQDN exclusivo (nome do host+nome do dom√≠nio ) para o NS7 e um nome exclusivo para o servidor de dom√≠nio com AD. Defina tamb√©m, as senha do root e do administrator. O nome de host do NS7, servidor real,  deve ser √ļnico e diferente do nome de host do servidor AD, servidor virtual, cujo IP tamb√©m √©  diferente, conforme instru√ß√Ķes no manual acima;
4. Baixe a ISO do NS7 e  use a documentação do link  http://docs.nethserver.org/en/v7/ para instalar. Configure o endereço IP de  rede do NS7 para acessar o seu firewall/roteador.  No firewall/OpnSense bloqueie o acesso para todos os IP's e autorize o tráfego somente para o IP do NS7;
5.  Use a documentação disponível em http://docs.nethserver.org/en/v7/packages.html para atualizar e baixar o pacote de linguagem [PORTUGUÊS]; faça o logoff e refaça o login trocando a opção de linguagem de inglês para português;
6. Selecione a opção de [Provedor de contas] na página WEB de administração do NS7. Selecione  [Active Directory] e logo a seguir [Criar um novo domínio] fornecendo os dados solicitados terminando o provisionamento do serviço;
7. Ative o servidor de horas com o ntp server sugerido e configure o servidor de DHCP. A sincroniza√ß√£o dos hor√°rios entre o servidor e o cliente √© fundamental e o NS7  deve ser configurado como servidor de hora pelo DHCP. Assim, configure o servidor DHCP,  nas op√ß√Ķes  avan√ßadas: Gateway IP [com o mesmo IP de administra√ß√£o do Nethserver]; Servidores de DNS [IP informado durante o provisionamento do servidor Active Directory]; Endere√ßo WINS [idem anterior]; Servidores NTP [idem Gateway IP];
8. Crie uma conta de usu√°rio dedicada no AD e defina uma senha complexa que n√£o expira para ela, especificamente para realizar a tarefa de JOIN ao AD;
9. Para logar-se no AD com o  UBUNTU 16.04, os usuários também devem ser criados com senhas sem expiração e na sequência, deve-se realizar o login  no domínio; logo em seguida, realizar o logoff e a seguir  reativar a opção de expiração. A manutenção das futuras senhas será por conta do usuário via utilitário específico;
10. O gerenciamento poder√° ser realizado por meio de uma esta√ß√£o MS Windows (no m√≠nimo vers√£o PRO) anexada ao dom√≠nio atrav√©s do utilit√°rio RSAT da Microsoft. No entanto, o gerenciamento via interface WEB do NS7 tamb√©m √© muito eficiente, principalmente nas se√ß√Ķes Usuarios e Grupos, Proxy Web e Filtros;
11. Neste tutorial,  a configura√ß√£o prev√™ somente uma placa de rede, que se transforma em uma BRIDGE ao se provisionar o AD. O proxy, neste ambiente, deve ser ativado em fun√ß√£o deste servidor ser o gateway informado por DHCP aos clientes. Os filtros personalizados e de conte√ļdo podem ser criados para grupos ou usu√°rios espec√≠ficos, com todos os recursos de ativa√ß√£o por programa√ß√£o de semana/hor√°rio, agindo transparentemente no navegador, em fun√ß√£o do usu√°rio logado na esta√ß√£o;
12. A instalação do NextCloud também facilita o backup centralizado, substituindo com vantagens o servidor SMB/CIFS para redes Windows. Porém, mantenha o usuário admin do NS7, no AD bloqueado, utilizando a senha padrão do site, possibilitando administrar todos os recursos do Nextcloud como a definição de uma cota default, que vigora para todos os usuários do AD.

TUTORIAL PARA O UBUNTU 16.04 AUTENTICAR-SE NO SERVIDOR DE DOM√ćNIO PROVISIONADO COM NETHSERVER 7

I. Todas as esta√ß√Ķes clientes do AD dever√£o estar configuradas para receber o IP via DHCP, pois isto atualiza o DNS do servidor com o nome da esta√ß√£o, facilitando a ades√£o ao dom√≠nio;
II. Lembre-se de ativar [Todos os usu√°rios podem podem conectar a esta rede] na guia Geral, da janela [Editando (nome da rede)], principalmente se for WIFI, permitindo que seja realizado uma conex√£o ao servidor DHCP antes mesmo de se realizar o login no AD;
III. Na ação de JOIN no cliente UBUNTU (cujo nome da estação/host deve ter ate 15 caracteres - vide documentação da Microsoft sobre o AD), informar o [Nome de dominio DNS] disponível  na aba [Fornecedor de contas ] locais do ACTIVE DIRECTORY para o seu domínio, na página de administração do Nethserver;
IV. H√° dois pacotes que prov√™em acesso ao AD instal√°veis no UBUNTU 16.04. O PBIS-open e o C-I-D. Este √ļltimo, mais intuitivo em rela√ß√£o ao recursos oferecidos ao usu√°rio final, √© tamb√©m o escolhido para realizar a conex√£o ao AD;
V. O manual do C-I-D  disponivel em https://sourceforge.net/projects/c-i-d/files/docs/usermanual.pdf prov√™ todas as informa√ß√Ķes para a instala√ß√£o na esta√ß√£o UBUNTU, contendo todas as orienta√ß√Ķes para que uma instala√ß√£o padr√£o a partir de uma ISO baixado do site ubuntu.com, seja anexada ao dom√≠nio e seja totalmente funcional, por√©m, algumas vezes apresenta-se uma advert√™ncia que pode ser ignorada;
VI. No caso espec√≠fico deste laborat√≥rio, foi usado um script que customiza o ISO padr√£o baixado do site do ubuntu realizando atualiza√ß√Ķes, instala√ß√£o de drivers, a remo√ß√£o/instala√ß√£o de  diversas ferramentas in√ļteis/√ļteis ao ambiente corporativo. O script tamb√©m configura a p√°gina inicial, endere√ßo do proxy e tipo, no mozilla firefox;
VII. A configura√ß√£o do nextcloud-client, com o fornecimento do usu√°rio e senha, permite que o conte√ļdo da pasta Nextcloud do usu√°rio logado esteja sempre sincronizado com o NS7, aliado aos recursos avan√ßados de versionamento, compartilhamento com controles altamente granulares e auditabilidade com log de atividades, dispon√≠vel na interface web do usu√°rio.

Planejamento e passo-a-passo da instalação do NethServer 7(NS7) para provisionamento de um servidor de internet via proxy e autenticação em domínio com Active Directory(AD)

1. Definir e anotar um nome de host do servidor NS7;
2. Definir e anotar um nome do domínio;
3. Definir e anotar um nome FQDN;
4. Definir e anotar um nome para o servidor de domínio com AD;
5. Definir e anotar um senha do root;
6. Definir e anotar um senha do administrator;
7. Definir e anotar um endereço IP exclusivo para o servidor NS7, de acordo com a faixa de rede recebida de sua matriz, se for implementar uma intranet, ou VPN;
8. Definir e anotar um endereço IP exclusivo para o servidor virtual do Active Directory, que será instalado num container;
9. Buscar com o administrador do firewall/gateway o endereço IP do gateway da sua rede;
10. Caso sua organização possua um link dedicado para uma intranet corporativa, procure saber a faixa de rede dos endereços IPs desta intranet (geralmente 10.0.0.0), a máscara de rede da intranet (geralmente 255.0.0.0) e o endereço IP do roteador para esta rede corporativa. Anote-os para a criação de uma rota estática para alcançar todos os endereços da intranet via endereço IP do gateway o qual fornece conectividade com toda  intranet corporativa;
11. Baixar a ISO est√°vel do NS7, testar a integridade com o MD5SUM;
12. Baixar o manual conforme tutorial e realizar a leitura do mesmo;
13. Crie uma máquina virtual ou monte um  host físico com uma placa de rede e inicie a instalação do NS7;
14. Durante a instala√ß√£o, fa√ßa as configura√ß√Ķes de rede com IP est√°tico, informe o gateway, informe a senha do root e o tipo de teclado;
15. Continue com a instalação e aguarde o fim do processo;
16. De uma estação de administração remota, abra o navegador WEB, digite o mesmo endereço IP (p7) do servidor NS7 informado na instalação para acessar a página de teste do servidor HTTP Apache;
17. Clique no link [Server Manager] no portal de teste;
18. O aviso de página não segura será exibido, clique em [AVANÇADO] e logo abaixo em [ir para {IP do servidor} não seguro] ou [adicionar exceção] no mozilla;
19. Na nova página, digite [root] para usuário e a senha que foi definida para a instalação(p5);
20. Complete o Wizard da instala√ß√£o, no primeiro acesso informando o nome FQDN (p3) do host (nome do servidor NS7 + ponto + nome do dominio). Tamb√©m informe o [Time zone] da sua regi√£o geogr√°fica. Altere a porta ssh, se for o caso. Prossiga e aplique as configura√ß√Ķes;
21. A página de administração do servidor será mostrada;
22. Selecione a opção [Domains accounts], selecione o botão do provedor de contas de usuário [Active Directory], clique em [Create a new domain] aceite ou altere os dados pré-configurados e forneça o endereço IP (p8) do controlador de dominio;
23. Uma advertência para configurar o Admin user em uma faixa amarela será apresentada. Não configure a senha [Enable admin user] se for usar o NEXTCLOUD;
24. Acesse no menu lateral a opção [Software center];
25. Clique na aba [Updates] e clique em [DOWNLOAD AND INSTALL];
26. Clique na aba [Available] e como sugest√£o, para uma rede corporativa, selecione os pacotes [Backup] [Instant messaging] [Portuguese language] [Web filter] [Web proxy]. Pesquise os recursos disponibilizados por cada pacote para criar seu perfil de pacotes;
27. Caso queira utilizar o NEXTCLOUD também selecione [Nextcloud] no item acima,  e após aplicado e instalado os pacotes e já na página de gerenciamento do NS7, clique na opção [Aplicativos] e surgirá um quadro nomeado [Nextcloud]. Clique no icone [Aberto] para iniciar outra aba de administração do nextcloud, informando o usuário admin e a senha de administração default da instalação encontrada em http://docs.nethserver.org/en/v7/nextcloud.html;
28. Na página do nextcloud, clique no ícone circular (contendo a letra A, de admin) e na lista suspensa, selecione a opção [Usuários];
29. Na nova p√°gina de administra√ß√£o de usu√°rios, surgir√° no canto inferior esquerdo uma engrenagem, dando acesso √†s [Configura√ß√Ķes] de limite para [Cota Padr√£o] dos novos usu√°rios(estas op√ß√Ķes s√£o ocultadas se o usu√°rio admin estiver habilidado, conforme a advert√™ncia). Mais configura√ß√Ķes espec√≠ficas, mostram o poder de controle deste servidor de arquivos. Explore;
30. Definido a cota padrão, no menu lateral de administração do NS7, acesse a opção [Usuarios e grupos] e crie os grupos (internetALL, SEMvideos, SOsitesGOV, SOsitesBR, SOedu, SOintranet, SOredeLOCAL, TEMvpn, etc ) e os usuários para logar no AD. O proxy configurado no modo autenticado fica transparente bloqueando o acesso aos sites de acordo com o perfil do usuario logado.
31. Configure o proxy como autenticado, ative o bloqueio de http e https. Configure o Web filter para gerenciar os acessos;
32. Caso tenha um gateway para intranet corporativa, crie uma rota est√°tica para a rede desta intranet e informe o IP do gateway para esta intranet, defina como DNS prim√°rio,  o da intranet e como o secund√°rio, o do roteador (da internet).

Howto configure Active Directory, Ubuntu Client and Authenticated Proxy
Instalando NethServer - Distro para PMEs (Português-Brasil)
(Markus Neuberger) #31

Great howto(s)! :sunglasses: I just put them to Google translator. Maybe we should open a new howto topic for it.

English translation

TUTORIAL TO CONFIGURE NETHSERVER 7 (NS7) AS A DOMAIN SERVER ACTIVE DIRECTORY

  1. Many of the information in this tutorial comes from Microsoft documentation for the management of an ACTIVE DIRECTORY (AD) environment. Use the Google Chrome browser to access the links with the translation option.
  2. Download the manual (well updated by signal) available at http://docs.nethserver.org/en/v7/ in the [Read the Docs] section or [Read the document] by selecting the language [es] and the NS [7] by clicking on PDF or HTML (in this, open the index.html file inside the zip file, which can be translated into Google Chrome). Read it, it will be your bible on this subject;
  3. Plan the required data. Set the IP addresses of the NS7 and the Active Directory server. Define a unique host name for NS7, a unique domain name, unique FQDN name (hostname + domain name) for NS7, and a unique name for the domain server with AD. Also define the root and administrator password. The NS7 host name, real server, must be unique and different from the host name of the AD server, virtual server, whose IP is also different, as instructed in the above manual;
  4. Download the NS7 ISO and use the documentation from http://docs.nethserver.org/en/v7/ to install. Configure the NS7 network IP address to access your firewall / router. In the firewall / OpnSense block access for all IPs and authorize traffic only to the IP of the NS7;
  5. Use the documentation available at http://docs.nethserver.org/en/v7/packages.html to update and download the [PORTUGUESE] language pack; log off and re-login by changing the language option from English to Portuguese;
  6. Select the [Account Provider] option on the NS7 Administration WEB page. Select [Active Directory] and then [Create a new domain] by providing the requested data by completing service provisioning;
  7. Activate the time server with the suggested ntp server and configure the DHCP server. Time synchronization between the server and the client is critical and the NS7 must be configured as a time server by DHCP. So, configure the DHCP server in the advanced options: IP gateway [with the same Nethserver administration IP]; DNS Servers [IP Informed During Active Directory Server Provisioning]; WINS Address [previous id]; NTP servers [IP Gateway ID];
  8. Create a dedicated user account in AD and set a complex password that does not expire for it, specifically to perform the JOIN task to AD;
  9. To log in to AD with UBUNTU 16.04, users must also be created with passwords without expiration and in the sequence, one must log in to the domain; then log off and then re-enable the expiration option. The maintenance of future passwords will be for the account of the user via specific utility;
  10. Management can be performed through an MS Windows station (at least PRO version) attached to the domain through the Microsoft RSAT utility. However, management via the NS7 WEB interface is also very efficient, especially in the Users and Groups, Web Proxy and Filters sections;
  11. In this tutorial, the configuration provides only one network adapter, which becomes a BRIDGE when you provision the AD. The proxy, in this environment, must be enabled because this server is the gateway DHCP informed to clients. Custom and content filters can be created for specific groups or users, with all activation features by week / time schedule, acting transparently in the browser, depending on the user logged into the station;
  12. The installation of NextCloud also facilitates centralized backup, effectively replacing the SMB / CIFS server for Windows networks. However, keep the admin user of NS7, in the blocked AD, using the default password of the site, allowing to manage all the features of Nextcloud as the definition of a default quota, which applies to all AD users.

TUTORIAL FOR UBUNTU 16.04 AUTHENTICATE ON PROVIDED DOMAIN SERVER WITH NETHSERVER 7

  1. All AD client stations must be configured to receive the IP via DHCP, as this updates the DNS of the server with the name of the station, making it easier to join the domain;
  2. Remember to enable [All users can connect to this network] on the General tab of the [Editing (network name)] window, especially if it is WIFI, allowing a connection to the DHCP server to be made before it even takes place login to AD;
  3. In the JOIN action on the UBUNTU client (whose hostname must be up to 15 characters - see Microsoft documentation on AD), enter the [DNS Domain Name] available on the ACTIVE DIRECTORY local [Account Provider] tab for your domain, on the Nethserver administration page;
  4. There are two packages that provide access to the installable AD in UBUNTU 16.04. PBIS-open and C-I-D. The latter, more intuitive in relation to the resources offered to the end user, is also the one chosen to make the connection to the AD;
  5. The CID manual available at https://sourceforge.net/projects/cid/files/docs/usermanual.pdf provides all the information for the installation at the UBUNTU station, containing all the guidelines for a standard installation from an ISO downloaded from the site ubuntu.com, is attached to the domain and is fully functional, however, sometimes there is a warning that can be ignored;
  6. In the specific case of this lab, we used a script that customizes the standard ISO downloaded from the ubuntu site by performing updates, installing drivers, removing / installing various useless tools useful to the corporate environment. The script also configures the home page, proxy address and type, in mozilla firefox;
  7. Nextcloud-client configuration, with user provisioning and password, allows the content of the logged-in user’s NextCloud folder to be always synchronized with NS7, coupled with advanced versioning capabilities, highly granular controls sharing, and activity log auditability , available in the user’s web interface.

Planning and step-by-step installation of NethServer 7 (NS7) for provisioning a proxy server and domain authentication with Active Directory (AD)

  1. Define and annotate a host name of the NS7 server;
  2. Define and annotate a domain name;
  3. Define and annotate a FQDN name;
  4. Define and note a name for the domain server with AD;
  5. Define and annotate a root password;
  6. Define and annotate an administrator password;
  7. Define and annotate a unique IP address for the NS7 server, according to the network range received from its array, if it is to implement an intranet, or VPN;
  8. Define and annotate a unique IP address for the Active Directory virtual server, which will be installed in a container;
  9. Search with the firewall / gateway administrator the IP address of the gateway of your network;
  10. If your organization has a dedicated link for a corporate intranet, look for the network range of the IP addresses of this intranet (usually 10.0.0.0), the intranet network mask (usually 255.0.0.0), and the IP address of the router for this corporate network. Write them down to create a static route to reach all intranet addresses via the gateway’s IP address which provides connectivity to the entire corporate intranet;
  11. Download the stable ISO of the NS7, test the integrity with the MD5SUM;
  12. Download the manual according to the tutorial and read it;
  13. Create a virtual machine or mount a physical host with a network card and start the installation of NS7;
  14. During the installation, make the network settings with static IP, inform the gateway, enter the root password and the keyboard type;
  15. Continue with the installation and wait for the end of the process;
  16. From a remote administration station, open the WEB browser, enter the same IP address (p7) of the NS7 server informed on the installation to access the Apache HTTP server test page;
  17. Click the [Server Manager] link in the test portal;
  18. The unsecured page warning will be displayed, click [ADVANCED], and then under [go to server’s unsafe IP] or [add exception] in mozilla;
  19. On the new page, type [root] for user and the password that was set for the installation (p5);
  20. Complete the Installation Wizard on the first login by entering the host name FQDN (p3) (NS7 server name + dot + domain name). Also tell the [Time zone] of your geographic region. Change the ssh port, if applicable. Proceed and apply the settings;
  21. The server administration page will be displayed;
  22. Select the [Domains accounts] option, select the user accounts provider [Active Directory] button, click [Create a new domain], accept or change the preconfigured data, and provide the IP address (p8) of the controller of domain;
  23. A warning to configure Admin user on a yellow banner will be displayed. Do not configure [Enable admin user] password if using NEXTCLOUD;
  24. Access the [Software center] option in the side menu;
  25. Click the [Updates] tab and click [DOWNLOAD AND INSTALL];
  26. Click on the [Available] tab and as a suggestion, for a corporate network, select the [Instant Messaging] [Portuguese language] [Web filter] [Web proxy] packages. Search the resources available for each package to create your package profile;
  27. If you want to use NEXTCLOUD also select [Nextcloud] in the above item, and after applying and installing the packages and already on the NS7 management page, click the [Applications] option and a frame named [Nextcloud] will appear. Click the [Open] icon to start another adminclient of nextcloud, informing the admin user and the default administration password of the installation found at http://docs.nethserver.org/en/v7/nextcloud.html;
  28. On the nextcloud page, click the circular icon (containing the letter A, from admin) and from the drop-down list, select the [Users] option;
  29. On the new user administration page, a gear will appear in the lower left corner, giving access to [Limit Settings] for [Default Quota] of new users (these options are hidden if the admin user is enabled, according to the warning) . More specific settings show the power of control of this file server. Explore;
  30. Define the default quota, in the NS7 administration side menu, go to the [Users and groups] option and create the groups (internetALL, SEMvideos, SOsitesGOV, SOsitesBR, SOedu, SOintranet, SOredeLOCAL, TEMvpn, etc.) and users to log in to AD. The proxy configured in authenticated mode becomes transparent by blocking access to the sites according to the logged-in user’s profile.
  31. Set the proxy as authenticated, enable the blocking of http and https. Configure the Web filter to manage the accesses;
  32. If you have a corporate intranet gateway, create a static route to the network of this intranet and inform the gateway IP to this intranet, set it to the primary, intranet, and secondary DNS of the router.

Proxy and web filter by user?
ERROR: Negotiate Authentication validating user. Error returned 'BH received type 1 NTLM token'
(Antonio Carlos Lemos Junior) #32

Thanks @mrmarkuz
I’ll take a look.


(Arthur Aida) #34

Markus, it’s a pleasure to help. If you think this is more useful in the English language, feel free to do so.


(Alessio Fattorini) #35

We need someone from our Portuguese sub-community @Paulo_Rodrigues @alexcsilva @brunocarne


(Markus Neuberger) #36

It’s already translated here. I think it’s understandable. GTranslator did its job well.
Maybe we should make a new howto thread out of it?


(Alessio Fattorini) #37

Good idea :wink: