Wyszukiwanie w witrynie

Jak zarządzać infrastrukturą AD Samba4 z wiersza poleceń systemu Linux — część 2

W tym samouczku omówione zostaną podstawowe polecenia, których należy używać codziennie do zarządzania infrastrukturą Kontrolera domeny Samba4 AD, takie jak dodawanie, usuwanie, wyłączanie lub wyświetlanie listy użytkowników i grup.

Przyjrzymy się również, jak zarządzać polityką bezpieczeństwa domeny i jak powiązać użytkowników AD z lokalnym uwierzytelnianiem PAM, aby użytkownicy AD mogli logować się lokalnie na kontrolerze domeny Linux.

Wymagania

  1. Utwórz infrastrukturę AD za pomocą Samby4 na Ubuntu 16.04 – część 1
  2. Zarządzaj infrastrukturą Active Directory Samba4 z Windows 10 poprzez RSAT – część 3
  3. Zarządzaj DNS i zasadami grupy kontrolera domeny Samba4 AD w systemie Windows – część 4

Krok 1: Zarządzaj Samba AD DC z wiersza poleceń

1. Samba AD DC można zarządzać za pomocą narzędzia wiersza poleceń samba-tool, które oferuje doskonały interfejs do administrowania domeną.

Za pomocą interfejsu samba-tool możesz bezpośrednio zarządzać użytkownikami i grupami domeny, zasadami grupy domeny, witrynami domenowymi, usługami DNS, replikacją domen i innymi krytycznymi funkcjami domeny.

Aby przejrzeć całą funkcjonalność samba-tool, po prostu wpisz polecenie z uprawnieniami roota, bez żadnych opcji i parametrów.

samba-tool -h

2. Teraz zacznijmy używać narzędzia samba-tool do administrowania Samba4 Active Directory i zarządzania naszymi użytkownikami.

Aby utworzyć użytkownika w AD, użyj następującego polecenia:

samba-tool user add your_domain_user

Aby dodać użytkownika z kilkoma ważnymi polami wymaganymi przez AD, użyj następującej składni:

--------- review all options --------- 
samba-tool user add -h  
samba-tool user add your_domain_user --given-name=your_name --surname=your_username [email  --login-shell=/bin/bash

3. Listę wszystkich użytkowników domeny samba AD można uzyskać, wydając następującą komendę:

samba-tool user list

4. Aby usunąć użytkownika domeny Samba AD, użyj poniższej składni:

samba-tool user delete your_domain_user

5. Zresetuj hasło użytkownika domeny samba, wykonując poniższe polecenie:

samba-tool user setpassword your_domain_user

6. Aby wyłączyć lub włączyć konto użytkownika Samba AD, użyj poniższego polecenia:

samba-tool user disable your_domain_user
samba-tool user enable your_domain_user

7. Podobnie grupami samby można zarządzać za pomocą następującej składni poleceń:

--------- review all options --------- 
samba-tool group add –h  
samba-tool group add your_domain_group

8. Usuń grupę domeny samby, wydając poniższe polecenie:

samba-tool group delete your_domain_group

9. Aby wyświetlić wszystkie grupy domen samby, uruchom następujące polecenie:

samba-tool group list

10. Aby wyświetlić listę wszystkich członków domeny samby w określonej grupie, użyj polecenia:

samba-tool group listmembers "your_domain group"

11. Dodawanie/usuwanie członka z grupy domeny samby można wykonać wydając jedno z poniższych poleceń:

samba-tool group addmembers your_domain_group your_domain_user
samba-tool group remove members your_domain_group your_domain_user

12. Jak wspomniano wcześniej, interfejs wiersza poleceń samba-tool może być również używany do zarządzania polityką i bezpieczeństwem domeny Samba.

Aby sprawdzić ustawienia hasła domeny Samba, użyj poniższego polecenia:

samba-tool domain passwordsettings show

13. Aby zmodyfikować zasady dotyczące haseł domeny samba, takie jak poziom złożoności hasła, starzenie się hasła, długość, liczba starych haseł do zapamiętania i inne funkcje bezpieczeństwa wymagane dla kontrolera domeny, użyj poniższego zrzutu ekranu jako przewodnik.

---------- List all command options ---------- 
samba-tool domain passwordsettings -h

Nigdy nie używaj zasad polityki haseł, jak pokazano powyżej, w środowisku produkcyjnym. Powyższe ustawienia służą wyłącznie celom demonstracyjnym.

Krok 2: Lokalne uwierzytelnianie Samby przy użyciu kont Active Directory

14. Domyślnie użytkownicy AD nie mogą logować się lokalnie w systemie Linux poza środowiskiem Samba AD DC.

Aby zalogować się do systemu za pomocą konta Active Directory należy dokonać następujących zmian w środowisku systemu Linux oraz zmodyfikować Samba4 AD DC.

Najpierw otwórz główny plik konfiguracyjny Samby i dodaj poniższe linie, jeśli ich brakuje, jak pokazano na poniższym zrzucie ekranu.

sudo nano /etc/samba/smb.conf

Upewnij się, że w pliku konfiguracyjnym znajdują się następujące instrukcje:

winbind enum users = yes
winbind enum groups = yes

15. Po wprowadzeniu zmian użyj narzędzia testparm, aby upewnić się, że w pliku konfiguracyjnym samby nie znaleziono błędów, i zrestartuj demony samby, wydając poniższe polecenie.

testparm
sudo systemctl restart samba-ad-dc.service

16. Następnie musimy zmodyfikować lokalne pliki konfiguracyjne PAM, aby konta Samba4 Active Directory mogły uwierzytelniać i otwierać sesję w systemie lokalnym oraz tworzyć konto domowe katalog dla użytkowników przy pierwszym logowaniu.

Użyj polecenia pam-auth-update, aby otworzyć okno konfiguracji PAM i upewnij się, że wszystkie profile PAM są włączone za pomocą klawisza [space], jak pokazano na poniższym zrzucie ekranu.

Po zakończeniu naciśnij klawisz [Tab], aby przejść do OK i zastosować zmiany.

sudo pam-auth-update

17. Teraz otwórz plik /etc/nsswitch.conf za pomocą edytora tekstu i dodaj instrukcję winbind na końcu linii hasła i grupy jak pokazano na poniższym zrzucie ekranu.

sudo vi /etc/nsswitch.conf

18. Na koniec edytuj plik /etc/pam.d/common-password, wyszukaj poniższą linię, jak pokazano na poniższym zrzucie ekranu i usuń use_authtok< oświadczenie.

To ustawienie gwarantuje, że użytkownicy Active Directory będą mogli zmienić swoje hasło z wiersza poleceń podczas uwierzytelniania w systemie Linux. Po włączeniu tego ustawienia użytkownicy usługi AD uwierzytelnieni lokalnie w systemie Linux nie mogą zmienić swojego hasła z konsoli.

password       [success=1 default=ignore]      pam_winbind.so try_first_pass

Usuń opcję use_authtok za każdym razem, gdy aktualizacje PAM są instalowane i stosowane do modułów PAM lub za każdym razem, gdy wykonujesz polecenie pam-auth-update.

19. Pliki binarne Samby4 mają wbudowanego i domyślnie włączonego demona winbindd.

Z tego powodu nie musisz już oddzielnie włączać i uruchamiać demona winbind dostarczonego przez pakiet winbind z oficjalnych repozytoriów Ubuntu.

Jeśli w systemie uruchomiona jest stara i nieaktualna usługa winbind, pamiętaj o jej wyłączeniu i zatrzymaniu usługi, wydając poniższe polecenia:

sudo systemctl disable winbind.service
sudo systemctl stop winbind.service

Chociaż nie musimy już uruchamiać starego demona winbind, nadal musimy zainstalować pakiet Winbind z repozytoriów, aby zainstalować i używać narzędzia wbinfo.

Narzędzie Wbinfo może być używane do wysyłania zapytań do użytkowników i grup Active Directory z punktu widzenia demona winbindd.

Poniższe polecenia ilustrują sposób wysyłania zapytań do użytkowników i grup AD za pomocą wbinfo.

wbinfo -g
wbinfo -u
wbinfo -i your_domain_user

20. Oprócz narzędzia wbinfo możesz także użyć narzędzia wiersza poleceń getent do wysyłania zapytań do bazy danych Active Directory z bibliotek Name Service Switch, które są reprezentowane w 20./etc/nsswitch.conf.

Przeprowadź polecenie getent przez filtr grep, aby zawęzić wyniki dotyczące tylko bazy danych użytkowników lub grup obszaru AD.

getent passwd | grep TECMINT
getent group | grep TECMINT

Krok 3: Zaloguj się w systemie Linux z użytkownikiem Active Directory

21. Aby uwierzytelnić się w systemie z użytkownikiem Samba4 AD, po prostu użyj parametru nazwa użytkownika AD po su - polecenie.

Przy pierwszym logowaniu na konsoli zostanie wyświetlony komunikat informujący, że w ścieżce systemowej /home/$DOMAIN/ został utworzony katalog domowy z grzywą Twojej nazwy użytkownika AD.

Użyj polecenie id, aby wyświetlić dodatkowe informacje o uwierzytelnionym użytkowniku.

su - your_ad_user
id
exit

22. Aby zmienić hasło dla uwierzytelnionego użytkownika AD, po pomyślnym zalogowaniu się do systemu, wpisz polecenie passwd w konsoli.

su - your_ad_user
passwd

23. Domyślnie użytkownikom Active Directory nie są przyznawane uprawnienia roota w celu wykonywania zadań administracyjnych w systemie Linux.

Aby przyznać uprawnienia roota użytkownikowi AD, musisz dodać nazwę użytkownika do lokalnej grupy sudo, wydając poniższe polecenie.

Upewnij się, że dziedzina, ukośnik i nazwa użytkownika AD są ujęte w pojedyncze cudzysłowy ASCII.

usermod -aG sudo 'DOMAIN\your_domain_user'

Aby sprawdzić, czy użytkownik AD ma uprawnienia roota w systemie lokalnym, zaloguj się i uruchom polecenie, takie jak apt-get update, z uprawnieniami sudo.

su - tecmint_user
sudo apt-get update

24. Jeśli chcesz dodać uprawnienia roota dla wszystkich kont w grupie Active Directory, edytuj plik /etc/sudoers za pomocą polecenia visudo i dodaj poniższą linię po linii uprawnień roota, jak pokazano na poniższym zrzucie ekranu:

%DOMAIN\\your_domain\  group ALL=(ALL:ALL) ALL

Zwróć uwagę na składnię sudoers, aby niczego nie rozbić.

Plik Sudoers nie radzi sobie zbyt dobrze z cudzysłowami ASCII, więc upewnij się, że używasz %, aby wskazać, że odwołujesz się do grupy, i użyj ukośnika odwrotnego, aby zaznaczyć uniknij pierwszego ukośnika po nazwie domeny i kolejnego ukośnika odwrotnego, aby uciec od spacji, jeśli nazwa grupy zawiera spacje (większość grup wbudowanych w AD domyślnie zawiera spacje). Zapisz także dziedzinę wielkimi literami.

To wszystko na teraz! Zarządzanie infrastrukturą Samba4 AD można również osiągnąć za pomocą kilku narzędzi ze środowiska Windows, takich jak ADUC, DNS Manager, GPM lub inny, który można uzyskać instalując pakiet RSAT ze strony pobierania Microsoft.

Aby administrować Samba4 AD DC za pomocą narzędzi RSAT, absolutnie konieczne jest podłączenie systemu Windows do Samba4 Active Directory. Będzie to tematem naszego następnego samouczka, do tego czasu zaglądaj do TecMint.