Contact
Line : comsiam
ปัจจุบันหลายองค์กรไม่ได้ใช้แค่ Windows อย่างเดียว แต่มี Linux Server ร่วมอยู่ด้วย เช่น:
- Ubuntu Server
- Debian
- Rocky Linux
- AlmaLinux
- CentOS
ดังนั้นการเชื่อม Linux เข้ากับ Active Directory จึงสำคัญมาก เพราะช่วยให้:
- Login Linux ด้วย User AD ได้
- ใช้ Password กลาง
- ใช้ Group กลาง
- จัดการ User จากศูนย์กลาง
องค์กรขนาดกลางและใหญ่ทั่วโลก รวมถึงแนวทางที่ทีม comsiam ใช้ มักทำ Linux Join Domain เพื่อรวมระบบ Identity ทั้งหมดไว้ที่ Windows Server 2025
บทความนี้จะสอนการเชื่อม Linux กับ Active Directory แบบละเอียด พร้อม Best Practice สำหรับองค์กรจริง
① ทำไมต้องเชื่อม Linux กับ Active Directory
หากไม่เชื่อม:
ต้องสร้าง User แยกใน Linux
ปัญหา:
- Password ไม่ตรง
- Disable User ลำบาก
- จัดการหลายระบบยาก
② เมื่อ Linux Join AD แล้วได้อะไร
User สามารถ:
- Login Linux ด้วย Account Domain
- ใช้ Password เดียวกับ Windows
- ใช้ Group Permission ได้
③ Linux รุ่นไหน Join AD ได้บ้าง
นิยม:
- Ubuntu Server
- Debian
- Rocky Linux
- AlmaLinux
แทบทุก Linux Enterprise รองรับ
④ สิ่งที่ต้องมี ก่อน Join Linux เข้า Domain
ต้องมี:
- ติดตั้ง Active Directory แล้ว
- DNS ทำงานปกติ
- Linux ใช้ DNS ของ Domain Controller
สำคัญมาก:
DNS ต้องถูก
⑤ วิธีตรวจสอบ DNS บน Linux
ใช้:
cat /etc/resolv.confควรเห็น:
nameserver 192.168.1.10⑥ วิธีตรวจสอบเวลา (Time Sync)
Kerberos ต้องใช้เวลาตรงกัน
ใช้:
timedatectl⑦ วิธีติดตั้ง Package สำหรับ Join Domain (Ubuntu)
ใช้:
sudo apt update
sudo apt install realmd sssd sssd-tools adcli samba-common krb5-user oddjob oddjob-mkhomedir packagekit⑧ วิธีติดตั้ง Package บน Rocky Linux / AlmaLinux
ใช้:
sudo dnf install realmd sssd adcli oddjob oddjob-mkhomedir samba-common-tools krb5-workstation⑨ วิธีค้นหา Domain
ใช้:
realm discover company.localหากสำเร็จ:
จะแสดงข้อมูล Domain
⑩ วิธี Join Linux เข้า Domain
ใช้:
sudo realm join company.local -U administrator⑪ วิธีตรวจสอบว่า Join สำเร็จหรือไม่
ใช้:
realm listหากสำเร็จ:
จะเห็น Domain
⑫ วิธี Login Linux ด้วย User AD
ตัวอย่าง:
company\\somchaiหรือ:
somchai@company.local⑬ วิธีตรวจสอบ User AD บน Linux
ใช้:
id somchai@company.local⑭ วิธีสร้าง Home Directory อัตโนมัติ
ใช้:
sudo authselect enable-feature with-mkhomedirหรือเปิด:
oddjob-mkhomedir
⑮ วิธี Restart SSSD
ใช้:
sudo systemctl restart sssd⑯ SSSD คืออะไร
SSSD คือ Service ที่เชื่อม Linux กับ AD
ใช้สำหรับ:
- Authentication
- Caching
- User Lookup
⑰ วิธีดู Log ของ SSSD
ใช้:
journalctl -u sssd⑱ วิธีใช้ sudo กับ AD Group
แก้ไฟล์:
/etc/sudoersตัวอย่าง:
%domain\ admins ALL=(ALL) ALL⑲ วิธีจำกัดว่าใคร Login Linux ได้
ใช้:
realm permit somchai@company.local⑳ วิธีออกจาก Domain
ใช้:
sudo realm leave company.local㉑ ปัญหาที่พบบ่อย
Join Domain ไม่ได้
สาเหตุ:
DNS ผิด
Login ไม่ได้
สาเหตุ:
Kerberos Error
Time ไม่ตรง
User AD มองไม่เห็น
สาเหตุ:
SSSD ไม่ทำงาน
㉒ วิธีตรวจสอบ Kerberos
ใช้:
kinit administratorหากสำเร็จ:
Kerberos ทำงาน
㉓ วิธีตรวจสอบ DNS
ใช้:
nslookup company.localกว่า 70% ของปัญหา Join Domain มาจาก DNS
㉔ แนวทาง Linux + AD ที่ดีสำหรับองค์กร
แนะนำ:
- ใช้ SSSD
- ใช้ LDAPS
- Sync Time ให้ตรง
- จำกัด Login ตาม Group
หลายองค์กรยังใช้ User Local บน Linux อยู่ ซึ่งทีม comsiam มักแนะนำให้รวม Identity ผ่าน AD ทั้งหมด
㉕ สิ่งที่ไม่ควรทำ
ไม่ควร:
- ใช้ DNS ภายนอก
- ใช้ Root Login ตรง
- เปิด SSH ให้ทุกคน
- ไม่มี Time Sync
㉖ Linux Join AD กับ LDAP ต่างกันยังไง
Join AD
Integrate เต็มระบบ
LDAP Only
ใช้แค่ Authentication
องค์กรส่วนใหญ่นิยม Join AD เต็ม
㉗ แนวทางองค์กรจริง
องค์กรส่วนใหญ่มัก:
- Join Linux เข้า AD
- ใช้ AD Group คุมสิทธิ์
- ใช้ SSH ผ่าน Domain User
ซึ่งเป็นแนวทางที่ทีม comsiam ใช้ในระบบจริงเช่นกัน
㉘ สรุป
การเชื่อม Linux กับ Active Directory บน Windows Server 2025 ช่วยให้องค์กรจัดการ User และ Authentication ได้จากศูนย์กลาง
ข้อดี:
- ใช้ User กลาง
- ลดการสร้าง User ซ้ำ
- ใช้ Password เดียวกัน
- ควบคุมสิทธิ์ง่ายขึ้น
โดยเฉพาะองค์กรที่มีทั้ง Windows และ Linux การรวมระบบ Identity ผ่าน AD ถือเป็นมาตรฐานสำคัญของ Enterprise IT สมัยใหม่
