Samba4 AD -infrastruktuurin hallinta Linuxin komentoriviltä - Osa 2
Tämä opetusohjelma kattaa joitain päivittäisiä peruskomentoja, joita sinun tulee käyttää Samba4 AD Domain Controller -infrastruktuurin hallinnassa, kuten käyttäjien ja ryhmien lisääminen, poistaminen, poistaminen käytöstä tai luetteloiminen.
Tutustumme myös verkkotunnuksen suojauskäytännön hallintaan ja AD-käyttäjien sitomiseen paikalliseen PAM-todennukseen, jotta AD-käyttäjät voivat suorittaa paikallisia kirjautumisia Linux Domain Controlleriin.
Vaatimukset
- Luo AD-infrastruktuuri Samba4:llä Ubuntu 16.04:ssä – Osa 1
- Hallitse Samba4 Active Directory -infrastruktuuria Windows10:stä RSAT:n kautta – Osa 3
- Hallitse Samba4 AD Domain Controller DNS:ää ja ryhmäkäytäntöä Windowsista – Osa 4
Vaihe 1: Hallinnoi Samba AD DC:tä komentoriviltä
1. Samba AD DC:tä voidaan hallita samba-tool-komentorivityökalulla, joka tarjoaa erinomaisen käyttöliittymän verkkotunnuksesi hallintaan.
Samba-työkalun käyttöliittymän avulla voit hallita suoraan verkkoalueen käyttäjiä ja ryhmiä, toimialueen ryhmäkäytäntöä, toimialuesivustoja, DNS-palveluita, toimialueen replikointia ja muita tärkeitä toimialuetoimintoja.
Tarkastellaksesi samba-toolin koko toiminnallisuutta, kirjoita komento pääkäyttäjän oikeuksin ilman vaihtoehtoja tai parametreja.
samba-tool -h
2. Aloitetaan nyt samba-tool -apuohjelman käyttö Samba4 Active Directoryn ja käyttäjien hallintaan.
Luodaksesi käyttäjän AD:lle käytä seuraavaa komentoa:
samba-tool user add your_domain_user
Jos haluat lisätä käyttäjän, jolla on useita AD:n edellyttämiä tärkeitä kenttiä, käytä seuraavaa syntaksia:
--------- review all options ---------
samba-tool user add -h
samba-tool user add your_domain_user --given-name=your_name --surname=your_username [email --login-shell=/bin/bash
3. Luettelo kaikista samba AD -verkkotunnuksen käyttäjistä saadaan antamalla seuraava komento:
samba-tool user list
4. Poista samba AD -verkkotunnuksen käyttäjä käyttämällä alla olevaa syntaksia:
samba-tool user delete your_domain_user
5. Palauta samba-verkkotunnuksen käyttäjän salasana suorittamalla alla oleva komento:
samba-tool user setpassword your_domain_user
6. Samba AD -käyttäjätilin ottamiseksi käyttöön tai poistamiseksi käytöstä käytä alla olevaa komentoa:
samba-tool user disable your_domain_user
samba-tool user enable your_domain_user
7. Samba-ryhmiä voidaan hallita seuraavalla komentosyntaksilla:
--------- review all options ---------
samba-tool group add –h
samba-tool group add your_domain_group
8. Poista samba-verkkotunnusryhmä antamalla alla oleva komento:
samba-tool group delete your_domain_group
9. Näytä kaikki samba-toimialueryhmät suorittamalla seuraava komento:
samba-tool group list
10. Listaa kaikki tietyn ryhmän samba-verkkotunnuksen jäsenet komennolla:
samba-tool group listmembers "your_domain group"
11. Jäsenen lisääminen tai poistaminen samba-toimialueryhmästä voidaan tehdä antamalla jokin seuraavista komennoista:
samba-tool group addmembers your_domain_group your_domain_user
samba-tool group remove members your_domain_group your_domain_user
12. Kuten aiemmin mainittiin, samba-tool-komentorivikäyttöliittymää voidaan käyttää myös samba-toimialueen käytännön ja suojauksen hallintaan.
Voit tarkistaa samba-verkkotunnuksesi salasana-asetukset käyttämällä alla olevaa komentoa:
samba-tool domain passwordsettings show
13. Jos haluat muokata samba-verkkotunnuksen salasanakäytäntöä, kuten salasanan monimutkaisuustasoa, salasanan ikääntymistä, pituutta, kuinka monta vanhaa salasanaa muistetaan ja muita verkkotunnuksen ohjaimelle vaadittavia suojausominaisuuksia, käytä alla olevaa kuvakaappausta. opas.
---------- List all command options ----------
samba-tool domain passwordsettings -h
Älä koskaan käytä yllä kuvattuja salasanakäytäntösääntöjä tuotantoympäristössä. Yllä olevia asetuksia käytetään vain esittelytarkoituksiin.
Vaihe 2: Samban paikallinen todennus Active Directory -tilejä käyttämällä
14. Oletuksena AD-käyttäjät eivät voi suorittaa paikallisia kirjautumisia Linux-järjestelmään Samba AD DC -ympäristön ulkopuolella.
Jotta voit kirjautua järjestelmään Active Directory -tilillä, sinun on tehtävä seuraavat muutokset Linux-järjestelmäympäristössäsi ja muokattava Samba4 AD DC:tä.
Avaa ensin samban pääasetustiedosto ja lisää alla olevat rivit, jos ne puuttuvat, kuten alla olevassa kuvakaappauksessa on kuvattu.
sudo nano /etc/samba/smb.conf
Varmista, että seuraavat lausunnot näkyvät asetustiedostossa:
winbind enum users = yes
winbind enum groups = yes
15. Kun olet tehnyt muutokset, käytä testparm-apuohjelmaa varmistaaksesi, ettei samba-määritystiedostosta löydy virheitä, ja käynnistä samba-daemonit uudelleen antamalla alla oleva komento.
testparm
sudo systemctl restart samba-ad-dc.service
16. Seuraavaksi meidän on muokattava paikallisia PAM-määritystiedostoja, jotta Samba4 Active Directory -tilit voivat todentaa ja avata istunnon paikallisessa järjestelmässä ja luoda kodin hakemisto käyttäjille ensimmäisellä kirjautumiskerralla.
Avaa PAM-määrityskehote pam-auth-update-komennolla ja varmista, että otat kaikki PAM-profiilit käyttöön käyttämällä [välilyönti]-näppäintä alla olevan kuvakaappauksen mukaisesti.
Kun olet valmis, paina [Tab]-näppäintä siirtyäksesi kohtaan Ok ja ottaa muutokset käyttöön.
sudo pam-auth-update
17. Avaa nyt /etc/nsswitch.conf-tiedosto tekstieditorilla ja lisää winbind-lause salasana- ja ryhmärivien loppuun. kuten alla olevassa kuvakaappauksessa näkyy.
sudo vi /etc/nsswitch.conf
18. Muokkaa lopuksi /etc/pam.d/common-password-tiedostoa, etsi alla olevaa riviä alla olevan kuvakaappauksen mukaisesti ja poista use_authtok<. lausunto.
Tämä asetus varmistaa, että Active Directory -käyttäjät voivat vaihtaa salasanansa komentoriviltä ollessaan todennettuna Linuxissa. Kun tämä asetus on käytössä, Linuxissa paikallisesti todetut AD-käyttäjät eivät voi vaihtaa salasanaansa konsolista.
password [success=1 default=ignore] pam_winbind.so try_first_pass
Poista vaihtoehto use_authtok aina, kun PAM-päivitykset asennetaan ja niitä otetaan käyttöön PAM-moduuleissa tai joka kerta, kun suoritat pam-auth-update-komennon.
19. Samba4-binäärien mukana tulee sisäänrakennettu winbindd-daemon, joka on oletuksena käytössä.
Tästä syystä sinun ei enää tarvitse erikseen ottaa käyttöön ja suorittaa winbind-daemonia, jonka winbind-paketti tarjoaa virallisista Ubuntu-varastoista.
Jos vanha ja vanhentunut winbind-palvelu käynnistetään järjestelmässä, varmista, että poistat sen käytöstä ja lopetat palvelun antamalla seuraavat komennot:
sudo systemctl disable winbind.service
sudo systemctl stop winbind.service
Vaikka meidän ei enää tarvitse ajaa vanhaa winbind-daemonia, meidän on silti asennettava Winbind-paketti arkistoista, jotta voimme asentaa ja käyttää wbinfo-työkalua.
Wbinfo-apuohjelmalla voidaan tehdä kyselyitä Active Directoryn käyttäjiltä ja ryhmiltä winbindd-daemonin näkökulmasta.
Seuraavat komennot havainnollistavat, kuinka AD-käyttäjiltä ja -ryhmiltä tehdään kysely wbinfolla.
wbinfo -g
wbinfo -u
wbinfo -i your_domain_user
20. wbinfo-apuohjelman lisäksi voit käyttää myös getent-komentorivityökalua Active Directory -tietokannan kyselyyn Name Service Switch -kirjastoista, joita edustaa /etc/nsswitch.conf-tiedosto.
Suorita getent-komento grep-suodattimen läpi, jotta voit rajata tuloksia vain AD-alueen käyttäjä- tai ryhmätietokantaasi.
getent passwd | grep TECMINT
getent group | grep TECMINT
Vaihe 3: Kirjaudu Linuxiin Active Directory -käyttäjällä
21. Jos haluat todentaa järjestelmässä Samba4 AD -käyttäjällä, käytä AD username -parametria su - jälkeen. koodi> komento.
Ensimmäisellä kirjautumiskerralla konsoliin tulee viesti, joka ilmoittaa, että /home/$DOMAIN/ järjestelmäpolulle on luotu kotihakemisto AD-käyttäjänimesi harjalla.
Käytä id-komentoa näyttääksesi lisätietoja todennetusta käyttäjästä.
su - your_ad_user
id
exit
22. Jos haluat vaihtaa todetun AD-käyttäjän salasanan, kirjoita konsoliin passwd-komento, kun olet kirjautunut järjestelmään.
su - your_ad_user
passwd
23. Oletuksena Active Directory -käyttäjille ei myönnetä pääkäyttäjän oikeuksia suorittaakseen hallintotehtäviä Linuxissa.
Jos haluat myöntää pääkäyttäjän oikeudet AD-käyttäjälle, sinun on lisättävä käyttäjänimi paikalliseen sudo-ryhmään antamalla alla oleva komento.
Muista merkitä alue, vinoviiva ja AD-käyttäjänimi yksittäisillä ASCII-lainausmerkeillä.
usermod -aG sudo 'DOMAIN\your_domain_user'
Voit testata, onko AD-käyttäjällä pääkäyttäjän oikeudet paikallisessa järjestelmässä, kirjautumalla sisään ja suorittamalla komento, kuten apt-get update, sudo-oikeuksilla.
su - tecmint_user
sudo apt-get update
24. Jos haluat lisätä pääkäyttäjän oikeudet kaikille Active Directory -ryhmän tileille, muokkaa /etc/sudoers-tiedostoa visudo-komennolla ja lisää alla oleva rivi pääkäyttäjän oikeudet rivin jälkeen alla olevan kuvakaappauksen mukaisesti:
%DOMAIN\\your_domain\ group ALL=(ALL:ALL) ALL
Kiinnitä huomiota sudoers-syntaksiin, jotta et riko asioita.
Sudoers-tiedosto ei käsittele kovin hyvin ASCII-lainausmerkkien käyttöä, joten varmista, että käytät %-merkkiä osoittamaan, että viittaat ryhmään, ja käytä kenoviivaa erota ensimmäinen kenoviiva verkkotunnuksen nimen jälkeen ja toinen kenoviiva välttääksesi välilyönnit, jos ryhmän nimi sisältää välilyöntejä (useimmat AD:n sisäänrakennetut ryhmät sisältävät oletuksena välilyöntejä). Kirjoita myös alue isoilla kirjaimilla.
Tässä kaikki tältä erää! Samba4 AD -infrastruktuurin hallinta voidaan suorittaa myös useilla Windows-ympäristön työkaluilla, kuten ADUC, DNS Manager, GPM. > tai muu, jonka voi hankkia asentamalla RSAT-paketti Microsoftin lataussivulta.
Jotta voit hallita Samba4 AD DC:tä RSAT-apuohjelmien kautta, sinun on ehdottomasti liitettävä Windows-järjestelmä Samba4 Active Directoryyn. Tämä on seuraavan opetusohjelman aiheena, ja siihen asti pysy kuulolla TecMintistä.