Samba4 AD -infrastruktuurin hallinta Linux-komentoriviltä - osa 2
Tässä opetusohjelmassa käsitellään joitain päivittäisiä peruskomentoja, joita sinun on käytettävä Samba4 AD Domain Controller -infrastruktuurin hallintaan, kuten käyttäjien ja ryhmien lisääminen, poistaminen, poistaminen käytöstä tai luettelointi.
Tarkastelemme myös, kuinka hallita verkkotunnuksen tietoturvakäytäntöä ja miten AD-käyttäjät voidaan sitoa paikalliseen PAM-todennukseen, jotta AD-käyttäjät voivat suorittaa paikallisia kirjautumistietoja Linux Domain Controllerilla.
- Luo AD-infrastruktuuri Samba4: n kanssa Ubuntu 16.04 - osa 1
- Hallinnoi Samba4 Active Directory -infrastruktuuria Windows10: stä RSAT: n kautta - osa 3
- Hallinnoi Samba4 AD -toimialueohjaimen DNS: ää ja ryhmäkäytäntöä Windowsista - Osa 4
Vaihe 1: Hallinnoi Samba AD DC: tä komentoriviltä
1. Samba AD DC: tä voidaan hallita samba-työkalun komentorivi-apuohjelmalla, joka tarjoaa erinomaisen käyttöliittymän toimialueen hallintaan.
Samba-työkalurajapinnan avulla voit hallita suoraan toimialueen käyttäjiä ja ryhmiä, toimialueen ryhmäkäytäntöä, toimialueita, DNS-palveluita, toimialueen replikointia ja muita kriittisiä toimialueiden toimintoja.
Jos haluat tarkastella samba-työkalun kaikkia toimintoja, kirjoita komento pääkäyttöoikeuksilla ilman mitään vaihtoehtoa tai parametria.
# samba-tool -h
2. Aloitetaan nyt samba-työkalun käyttäminen Samba4 Active Directoryn hallinnointiin ja käyttäjien hallintaan.
Jos haluat luoda käyttäjän AD: ssä, käytä seuraavaa komentoa:
# samba-tool user add your_domain_user
Voit lisätä käyttäjän, jolla on useita AD: n edellyttämiä tärkeitä kenttiä, käyttämällä seuraavaa syntaksia:
--------- review all options --------- # samba-tool user add -h # samba-tool user add your_domain_user --given-name=your_name --surname=your_username [email --login-shell=/bin/bash
3. Luettelo kaikista samba AD -verkkotunnuksen käyttäjistä saadaan antamalla seuraava komento:
# samba-tool user list
4. Poista samba AD -verkkotunnuksen käyttäjä seuraavalla syntaksilla:
# samba-tool user delete your_domain_user
5. Nollaa samba-toimialueen käyttäjän salasana suorittamalla seuraava komento:
# samba-tool user setpassword your_domain_user
6. Poista samba AD -käyttäjätili käytöstä tai ota käyttöön seuraava komento:
# samba-tool user disable your_domain_user # samba-tool user enable your_domain_user
Samoin samba-ryhmiä voidaan hallita seuraavalla komentosyntaksilla:
--------- review all options --------- # samba-tool group add –h # samba-tool group add your_domain_group
8. Poista samba-verkkotunnusryhmä antamalla seuraava komento:
# samba-tool group delete your_domain_group
9. Näytä kaikki samba-toimialueiden ryhmät suorittamalla seuraava komento:
# samba-tool group list
10. Jos haluat luetella kaikki samba-toimialueen jäsenet tietyssä ryhmässä, käytä komentoa:
# samba-tool group listmembers "your_domain group"
11. Jäsenen lisääminen/poistaminen samba-toimialaryhmästä voidaan tehdä antamalla jokin seuraavista komennoista:
# samba-tool group addmembers your_domain_group your_domain_user # samba-tool group remove members your_domain_group your_domain_user
12. Kuten aiemmin mainittiin, samba-työkalun komentoriviliittymää voidaan käyttää myös samba-toimialueen käytäntöjen ja tietoturvan hallintaan.
Voit tarkistaa samba-toimialueen salasanan asetukset seuraavalla komennolla:
# samba-tool domain passwordsettings show
13. Samba-toimialueen salasanakäytännön, kuten salasanan monimutkaisuuden, salasanan ikääntymisen, pituuden, muistettavan vanhan salasanan ja muiden verkkotunnuksen ohjaimelle tarvittavien muiden turvaominaisuuksien muokkaamiseksi, käytä alla olevaa kuvakaappausta oppaana.
---------- List all command options ---------- # samba-tool domain passwordsettings -h
Älä koskaan käytä yllä kuvattuja salasanakäytäntösääntöjä tuotantoympäristössä. Yllä olevia asetuksia käytetään vain esittelytarkoituksiin.
Vaihe 2: Samban paikallinen todennus Active Directory -tilien avulla
14. Oletusarvoisesti AD-käyttäjät eivät voi suorittaa paikallisia kirjautumisia Linux-järjestelmässä Samba AD DC -ympäristön ulkopuolella.
Jotta voit kirjautua järjestelmään Active Directory -tilillä, sinun on tehtävä seuraavat muutokset Linux-järjestelmäympäristösi ja muokattava Samba4 AD DC: tä.
Avaa ensin samba-pääkokoonpanotiedosto ja lisää alla olevat rivit, jos niitä puuttuu, kuten alla olevassa kuvakaappauksessa on esitetty.
$ sudo nano /etc/samba/smb.conf
Varmista, että seuraavat lauseet näkyvät määritystiedostossa:
winbind enum users = yes winbind enum groups = yes
15. Kun olet tehnyt muutokset, käytä testparm-apuohjelmaa varmistaaksesi, että samba-määritystiedostossa ei löydy virheitä, ja käynnistä samba-demonit uudelleen antamalla alla oleva komento.
$ testparm $ sudo systemctl restart samba-ad-dc.service
16. Seuraavaksi meidän on muokattava paikallisia PAM-määritystiedostoja, jotta Samba4 Active Directory -tilit pystyvät todentamaan ja avaamaan istunnon paikallisessa järjestelmässä ja luomaan kotihakemiston käyttäjille ensimmäisen kirjautumisen yhteydessä.
Käytä pam-auth-update -komentoa avataksesi PAM-määrityskehotteen ja varmista, että otat kaikki PAM-profiilit käyttöön käyttämällä [space] -näppäintä alla olevan kuvakaappauksen mukaisesti.
Kun olet valmis, paina [Sarkain] -näppäintä siirtyäksesi kohtaan Ok ja ota muutokset käyttöön.
$ sudo pam-auth-update
17. Avaa nyt /etc/nsswitch.conf-tiedosto tekstieditorilla ja lisää winbind-käsky salasanan ja ryhmärivien loppuun, kuten alla olevassa kuvakaappauksessa on esitetty.
$ sudo vi /etc/nsswitch.conf
18. Muokkaa lopuksi /etc/pam.d/common-password -tiedostoa, etsi alla olevaa riviä alla olevan kuvakaappauksen mukaisesti ja poista käsky use_authtok.
Tämä asetus varmistaa, että Active Directory -käyttäjät voivat vaihtaa salasanansa komentoriviltä ollessaan todennettu Linuxissa. Kun tämä asetus on käytössä, paikallisesti Linuxissa todennetut AD-käyttäjät eivät voi vaihtaa salasanaa konsolista.
password [success=1 default=ignore] pam_winbind.so try_first_pass
Poista use_authtok -vaihtoehto aina, kun PAM-päivitykset asennetaan ja otetaan käyttöön PAM-moduuleissa tai aina, kun suoritat pam-auth-update -komennon.
19. Samba4-binääreissä on sisäänrakennettu ja oletusarvoisesti käytössä Winbindd-daemon.
Tästä syystä sinun ei enää tarvitse erikseen sallia ja suorittaa Winbind-paketin tarjoamaa Winbind-demonia virallisista Ubuntu-arkistoista.
Jos vanha ja vanhentunut winbind-palvelu käynnistetään järjestelmässä, varmista, että poistat sen käytöstä ja lopetat palvelun antamalla seuraavat komennot:
$ sudo systemctl disable winbind.service $ sudo systemctl stop winbind.service
Vaikka meidän ei enää tarvitse suorittaa vanhaa winbind-demonia, meidän on silti asennettava Winbind-paketti arkistoista wbinfo-työkalun asentamiseksi ja käyttämiseksi.
Wbinfo-apuohjelmaa voidaan käyttää Active Directory -käyttäjien ja -ryhmien kyselyyn winbindd-daemon-näkökulmasta.
Seuraavat komennot havainnollistavat AD-käyttäjien ja ryhmien kyselemistä wbinfon avulla.
$ wbinfo -g $ wbinfo -u $ wbinfo -i your_domain_user
20. wbinfo-apuohjelman lisäksi voit myös käyttää getent-komentorivi-apuohjelmaa kysyäksesi Active Directory -tietokannasta Name Service Switch -kirjastoista, jotka on esitetty tiedostossa /etc/nsswitch.conf.
Pipe getent -komento grep-suodattimen läpi kaventaaksesi tuloksia vain AD-alueen käyttäjälle tai ryhmätietokannalle.
# getent passwd | grep TECMINT # getent group | grep TECMINT
Vaihe 3: Kirjaudu Linuxiin Active Directory -käyttäjällä
21. Todentaaksesi järjestelmässä Samba4 AD -käyttäjällä, käytä AD-käyttäjänimi-parametria su - -komennon jälkeen.
Ensimmäisen kirjautumisen yhteydessä konsoliin ilmestyy viesti, joka ilmoittaa, että kotihakemisto on luotu järjestelmäpolulle /home/$DOMAIN/ ja AD-käyttäjänimesi.
Käytä id-komentoa näyttääksesi lisätietoja todennetusta käyttäjästä.
# su - your_ad_user $ id $ exit
22. Jos haluat vaihtaa todennetun AD-käyttäjätyypin passwd -komennon salasanan konsolissa, kun olet kirjautunut järjestelmään onnistuneesti.
$ su - your_ad_user $ passwd
23. Active Directory -käyttäjille ei ole oletusarvoisesti myönnetty pääkäyttöoikeuksia hallinnollisten tehtävien suorittamiseen Linuxissa.
Jos haluat myöntää juurivaltaa AD-käyttäjälle, sinun on lisättävä käyttäjänimi paikalliseen sudo-ryhmään antamalla alla oleva komento.
Varmista, että liität valtakunnan, kauttaviivan ja AD-käyttäjänimen yhdellä ASCII-lainauksella.
# usermod -aG sudo 'DOMAIN\your_domain_user'
Jos haluat testata, onko AD-käyttäjällä root-oikeudet paikallisessa järjestelmässä, kirjaudu sisään ja suorita komento, kuten apt-get update, sudo-oikeuksilla.
# su - tecmint_user $ sudo apt-get update
24. Jos haluat lisätä juurioikeudet Active Directory -ryhmän kaikille tileille, muokkaa/etc/sudoers-tiedostoa visudo-komennolla ja lisää alla oleva rivi pääkäyttöoikeusrivin jälkeen, kuten alla olevassa kuvakaappauksessa esitetään:
%DOMAIN\\your_domain\ group ALL=(ALL:ALL) ALL
Kiinnitä huomiota sudoer-syntaksiin, jotta et hajota asioita.
Sudoers-tiedosto ei käsittele kovin hyvin ASCII-lainausmerkkien käyttöä, joten varmista, että käytät % -merkkiä viitatessasi ryhmään ja poistu ensimmäisestä kauttaviivasta verkkotunnuksen jälkeen kääntämällä vinoviivaa nimi ja toinen takaviiva poistuaksesi välilyönneistä, jos ryhmän nimi sisältää välilyöntejä (suurin osa AD: n sisäänrakennetuista ryhmistä sisältää välilyöntejä oletuksena). Kirjoita valtakunta myös isoilla kirjaimilla.
Tässä kaikki tältä erää! Samba4 AD -infrastruktuurin hallinta voidaan saavuttaa myös useilla Windows-ympäristöstä saatavilla työkaluilla, kuten ADUC, DNS Manager, GPM tai muilla, jotka saadaan asentamalla RSAT-paketti Microsoftin lataussivulta.
Jos haluat hallinnoida Samba4 AD DC: tä RSAT-apuohjelmien kautta, sinun on ehdottomasti liitettävä Windows-järjestelmä Samba4 Active Directoryyn. Tämä on seuraavan opetusohjelmamme aihe, pysy siihen saakka TecMintillä.