Cum să gestionați infrastructura Samba4 AD din linia de comandă Linux - Partea 2


Acest tutorial va acoperi câteva comenzi zilnice de bază pe care trebuie să le utilizați pentru a gestiona infrastructura Samba4 AD Domain Controller, cum ar fi adăugarea, eliminarea, dezactivarea sau listarea utilizatorilor și a grupurilor.

De asemenea, vom arunca o privire asupra modului de gestionare a politicii de securitate a domeniului și a modului de a lega utilizatorii AD la autentificarea PAM locală, pentru ca utilizatorii AD să poată efectua autentificări locale pe controlerul de domeniu Linux.

Cerințe

  1. Creați o infrastructură AD cu Samba4 pe Ubuntu 16.04 - Partea 1
  2. Gestionați infrastructura Samba4 Active Directory din Windows10 prin RSAT – Partea 3
  3. Gestionați DNS și politica de grup a controlerului de domeniu Samba4 AD din Windows - Partea 4

Pasul 1: Gestionați Samba AD DC din linia de comandă

1. Samba AD DC poate fi gestionat prin intermediul utilitarului de linie de comandă samba-tool care oferă o interfață excelentă pentru administrarea domeniului dvs.

Cu ajutorul interfeței samba-tool puteți gestiona direct utilizatorii și grupurile de domeniu, politica de grup de domeniu, site-urile de domeniu, serviciile DNS, replicarea domeniului și alte funcții critice ale domeniului.

Pentru a revizui întreaga funcționalitate a samba-tool, trebuie doar să tastați comanda cu privilegii root fără nicio opțiune sau parametru.

samba-tool -h

2. Acum, să începem să folosim utilitarul samba-tool pentru a administra Samba4 Active Directory și a ne gestiona utilizatorii.

Pentru a crea un utilizator pe AD, utilizați următoarea comandă:

samba-tool user add your_domain_user

Pentru a adăuga un utilizator cu câteva câmpuri importante cerute de AD, utilizați următoarea sintaxă:

--------- review all options --------- 
samba-tool user add -h  
samba-tool user add your_domain_user --given-name=your_name --surname=your_username [email  --login-shell=/bin/bash

3. O listă a tuturor utilizatorilor domeniului Samba AD poate fi obținută prin lansarea următoarei comenzi:

samba-tool user list

4. Pentru a șterge un utilizator de domeniu Samba AD, utilizați sintaxa de mai jos:

samba-tool user delete your_domain_user

5. Resetați o parolă de utilizator de domeniu samba executând comanda de mai jos:

samba-tool user setpassword your_domain_user

6. Pentru a dezactiva sau a activa un cont de utilizator Samba AD, utilizați comanda de mai jos:

samba-tool user disable your_domain_user
samba-tool user enable your_domain_user

7. De asemenea, grupurile de samba pot fi gestionate cu următoarea sintaxă a comenzii:

--------- review all options --------- 
samba-tool group add –h  
samba-tool group add your_domain_group

8. Ștergeți un grup de domenii samba lansând comanda de mai jos:

samba-tool group delete your_domain_group

9. Pentru a afișa toate grupurile de domenii samba, executați următoarea comandă:

samba-tool group list

10. Pentru a lista toți membrii domeniului samba dintr-un anumit grup, utilizați comanda:

samba-tool group listmembers "your_domain group"

11. Adăugarea/eliminarea unui membru dintr-un grup de domenii samba se poate face lansând una dintre următoarele comenzi:

samba-tool group addmembers your_domain_group your_domain_user
samba-tool group remove members your_domain_group your_domain_user

12. După cum am menționat mai devreme, interfața de linie de comandă a instrumentului samba poate fi folosită și pentru a gestiona politica și securitatea domeniului samba.

Pentru a verifica setările parolei pentru domeniul samba, utilizați comanda de mai jos:

samba-tool domain passwordsettings show

13. Pentru a modifica politica privind parola de domeniu samba, cum ar fi nivelul de complexitate al parolei, vechimea parolei, lungimea, câte parole veche de reținut și alte caracteristici de securitate necesare pentru un controler de domeniu, utilizați captura de ecran de mai jos ca un ghid.

---------- List all command options ---------- 
samba-tool domain passwordsettings -h 

Nu utilizați niciodată regulile politicii de parole, așa cum este ilustrat mai sus, într-un mediu de producție. Setările de mai sus sunt folosite doar în scopuri demonstrative.

Pasul 2: Autentificare locală Samba folosind conturi Active Directory

14. În mod implicit, utilizatorii AD nu pot efectua conectări locale pe sistemul Linux în afara mediului Samba AD DC.

Pentru a vă conecta la sistem cu un cont Active Directory, trebuie să faceți următoarele modificări în mediul dvs. de sistem Linux și să modificați Samba4 AD DC.

Mai întâi, deschideți fișierul de configurare principal samba și adăugați liniile de mai jos, dacă lipsesc, așa cum este ilustrat în captura de ecran de mai jos.

sudo nano /etc/samba/smb.conf

Asigurați-vă că următoarele instrucțiuni apar în fișierul de configurare:

winbind enum users = yes
winbind enum groups = yes

15. După ce ați făcut modificările, utilizați utilitarul testparm pentru a vă asigura că nu sunt găsite erori în fișierul de configurare samba și reporniți demonii samba lansând comanda de mai jos.

testparm
sudo systemctl restart samba-ad-dc.service

16. În continuare, trebuie să modificăm fișierele de configurare PAM locale pentru ca conturile Samba4 Active Directory să poată autentifica și deschide o sesiune în sistemul local și să creeze o casă. director pentru utilizatori la prima conectare.

Utilizați comanda pam-auth-update pentru a deschide promptul de configurare PAM și asigurați-vă că activați toate profilurile PAM utilizând tasta [space], așa cum este ilustrat în captura de ecran de mai jos.

Când ați terminat, apăsați tasta [Tab] pentru a trece la Ok și a aplica modificările.

sudo pam-auth-update

17. Acum, deschideți fișierul /etc/nsswitch.conf cu un editor de text și adăugați instrucțiunea winbind la sfârșitul liniilor de parolă și de grup așa cum este ilustrat în captura de ecran de mai jos.

sudo vi /etc/nsswitch.conf

18. În cele din urmă, editați fișierul /etc/pam.d/common-password, căutați linia de mai jos așa cum este ilustrat în captura de ecran de mai jos și eliminați use_authtok< declarație.

Această setare asigură că utilizatorii Active Directory își pot schimba parola din linia de comandă în timp ce sunt autentificați în Linux. Cu această setare activată, utilizatorii AD autentificați local pe Linux nu își pot schimba parola din consolă.

password       [success=1 default=ignore]      pam_winbind.so try_first_pass

Eliminați opțiunea use_authtok de fiecare dată când actualizările PAM sunt instalate și aplicate modulelor PAM sau de fiecare dată când executați comanda pam-auth-update.

19. Binarele Samba4 sunt livrate cu un demon winbindd încorporat și activat implicit.

Din acest motiv, nu mai trebuie să activați și să rulați separat demonul winbind furnizat de pachetul winbind din depozitele oficiale Ubuntu.

În cazul în care serviciul vechi și depreciat winbind este pornit pe sistem, asigurați-vă că îl dezactivați și opriți serviciul lansând comenzile de mai jos:

sudo systemctl disable winbind.service
sudo systemctl stop winbind.service

Deși nu mai trebuie să rulăm vechiul daemon winbind, trebuie totuși să instalăm pachetul Winbind din depozite pentru a instala și utiliza instrumentul wbinfo.

Utilitarul Wbinfo poate fi folosit pentru a interoga utilizatorii și grupurile Active Directory din punctul de vedere al demonului winbindd.

Următoarele comenzi ilustrează cum să interogăți utilizatorii și grupurile AD folosind wbinfo.

wbinfo -g
wbinfo -u
wbinfo -i your_domain_user

20. În afară de utilitarul wbinfo, puteți utiliza și utilitarul de linie de comandă getent pentru a interoga baza de date Active Directory din bibliotecile Name Service Switch care sunt reprezentate în /etc/nsswitch.conf fișier.

Transmite comanda getent printr-un filtru grep pentru a restrânge rezultatele în ceea ce privește doar baza de date a grupului sau a utilizatorilor AD realm.

getent passwd | grep TECMINT
getent group | grep TECMINT

Pasul 3: Conectați-vă la Linux cu un utilizator Active Directory

21. Pentru a vă autentifica pe sistem cu un utilizator Samba4 AD, trebuie doar să utilizați parametrul AD username după su - comanda.

La prima conectare va fi afișat un mesaj pe consolă care vă anunță că a fost creat un director principal pe calea sistemului /home/$DOMAIN/ cu manea numelui dvs. de utilizator AD.

Utilizați comanda id pentru a afișa informații suplimentare despre utilizatorul autentificat.

su - your_ad_user
id
exit

22. Pentru a schimba parola pentru un utilizator AD autentificat, tastați passwd command în consolă după ce v-ați conectat cu succes la sistem.

su - your_ad_user
passwd

23. În mod implicit, utilizatorilor Active Directory nu li se acordă privilegii root pentru a efectua sarcini administrative pe Linux.

Pentru a acorda puteri root unui utilizator AD, trebuie să adăugați numele de utilizator la grupul local sudo lansând comanda de mai jos.

Asigurați-vă că includeți domeniul, slash și nume de utilizator AD cu ghilimele simple ASCII.

usermod -aG sudo 'DOMAIN\your_domain_user'

Pentru a testa dacă utilizatorul AD are privilegii root pe sistemul local, conectați-vă și executați o comandă, cum ar fi apt-get update, cu permisiuni sudo.

su - tecmint_user
sudo apt-get update

24. În cazul în care doriți să adăugați privilegii de root pentru toate conturile unui grup Active Directory, editați fișierul /etc/sudoers folosind comanda visudo și adăugați linia de mai jos după linia de privilegii root, așa cum este ilustrat în captura de ecran de mai jos:

%DOMAIN\\your_domain\  group ALL=(ALL:ALL) ALL

Acordați atenție sintaxei sudoers pentru a nu sparge lucrurile.

Fișierul Sudoers nu gestionează foarte bine utilizarea ghilimelelor ASCII, așa că asigurați-vă că utilizați % pentru a indica faptul că vă referiți la un grup și utilizați o bară oblică inversă pentru scăpați de prima bară oblică după numele domeniului și o altă bară oblică inversă pentru a scăpa de spații dacă numele grupului dvs. conține spații (majoritatea grupurilor încorporate AD conțin spații în mod implicit). De asemenea, scrieți tărâmul cu majuscule.

Asta este tot pentru acum! Gestionarea infrastructurii Samba4 AD poate fi realizată și cu mai multe instrumente din mediul Windows, cum ar fi ADUC, DNS Manager, GPM > sau altul, care poate fi obținut prin instalarea pachetului RSAT din pagina de descărcare Microsoft.

Pentru a administra Samba4 AD DC prin utilitarele RSAT, este absolut necesar să vă conectați la sistemul Windows în Samba4 Active Directory. Acesta va fi subiectul următorului nostru tutorial, până atunci rămâneți la curent cu TecMint.