Kaip valdyti „Samba4 AD“ infrastruktūrą iš „Linux“ komandų eilutės - 2 dalis

Šioje pamokoje bus aprašytos kai kurios pagrindinės kasdienės komandos, kurias turite naudoti, kad galėtumėte valdyti „Samba4 AD“ domeno valdiklio infrastruktūrą, pvz., Pridėti, pašalinti, išjungti ar įtraukti vartotojus ir grupes.

Taip pat apžvelgsime, kaip valdyti domeno saugos politiką ir kaip susieti AD vartotojus su vietiniu PAM autentifikavimu, kad AD vartotojai galėtų atlikti vietinius prisijungimus „Linux“ domeno valdiklyje.

1. Sukurkite „AD Infrastructure“ su „Samba4“ „Ubuntu 16.04“ - 1 dalyje
2. Tvarkykite „Samba4 Active Directory“ infrastruktūrą iš „Windows10“ per RSAT - 3 dalis
3. „Windows“ valdykite „Samba4 AD“ domeno valdiklio DNS ir grupės politiką - 4 dalis

1 žingsnis: valdykite „Samba AD DC“ iš komandų eilutės

1. „Samba AD DC“ galima valdyti per „samba-tool“ komandų eilutės įrankį, kuris suteikia puikią sąsają jūsų domenui administruoti.

„Samba“ įrankio sąsajos pagalba galite tiesiogiai valdyti domeno vartotojus ir grupes, domeno grupės politiką, domeno svetaines, DNS paslaugas, domeno replikaciją ir kitas kritines domeno funkcijas.

Norėdami peržiūrėti visą „samba-tool“ funkcionalumą, tiesiog įveskite komandą su root teisėmis be jokių parinkčių ar parametrų.

# samba-tool -h

2. Dabar pradėkime naudoti „samba-tool“ įrankį „Samba4 Active Directory“ administravimui ir savo vartotojų valdymui.

Norėdami sukurti vartotoją AD naudokite šią komandą:

# samba-tool user add your_domain_user

Norėdami pridėti vartotoją su keliais svarbiais AD reikalaujamais laukais, naudokite šią sintaksę:

--------- review all options --------- 
# samba-tool user add -h  
# samba-tool user add your_domain_user --given-name=your_name --surname=your_username [email  --login-shell=/bin/bash

3. Visų samba AD domeno vartotojų sąrašą galite gauti išleidę šią komandą:

# samba-tool user list

4. Norėdami ištrinti samba AD domeno vartotoją, naudokite toliau pateiktą sintaksę:

# samba-tool user delete your_domain_user

5. Atstatykite „Samba“ domeno vartotojo slaptažodį vykdydami žemiau esančią komandą:

# samba-tool user setpassword your_domain_user

6. Norėdami išjungti arba įjungti „samba AD“ vartotojo abonementą, naudokite šią komandą:

# samba-tool user disable your_domain_user
# samba-tool user enable your_domain_user

7. Taip pat samba grupes galima valdyti naudojant šią komandų sintaksę:

--------- review all options --------- 
# samba-tool group add –h  
# samba-tool group add your_domain_group

8. Ištrinkite „Samba“ domenų grupę, pateikdami šią komandą:

# samba-tool group delete your_domain_group

9. Norėdami rodyti visas samba domenų grupes, vykdykite šią komandą:

# samba-tool group list

10. Norėdami išvardyti visus samba domeno narius konkrečioje grupėje, naudokite komandą:

# samba-tool group listmembers "your_domain group"

11. Narį pridėti/pašalinti iš „Samba“ domenų grupės galima išduodant vieną iš šių komandų:

# samba-tool group addmembers your_domain_group your_domain_user
# samba-tool group remove members your_domain_group your_domain_user

12. Kaip minėta anksčiau, „Samba-tool“ komandinės eilutės sąsaja taip pat gali būti naudojama jūsų „Samba“ domeno politikai ir saugumui valdyti.

Norėdami peržiūrėti „Samba“ domeno slaptažodžio nustatymus, naudokite šią komandą:

# samba-tool domain passwordsettings show

13. Norėdami pakeisti „Samba“ domeno slaptažodžio politiką, pvz., Slaptažodžio sudėtingumo lygį, slaptažodžio senėjimą, ilgį, kiek seno slaptažodžio atsiminti, ir kitas saugos funkcijas, reikalingas domeno valdikliui, naudokite žemiau pateiktą ekrano kopiją.

---------- List all command options ---------- 
# samba-tool domain passwordsettings -h 

Niekada nenaudokite slaptažodžių politikos taisyklių, kaip parodyta aukščiau, gamybos aplinkoje. Pirmiau nurodyti nustatymai naudojami tik demonstravimo tikslais.

2 žingsnis: „Samba“ vietinis autentifikavimas naudojant „Active Directory“ paskyras

14. Pagal numatytuosius nustatymus AD vartotojai negali atlikti vietinių prisijungimų „Linux“ sistemoje už „Samba AD DC“ aplinkos ribų.

Norėdami prisijungti prie sistemos naudodami „Active Directory“ paskyrą, turite atlikti šiuos „Linux“ sistemos aplinkos pakeitimus ir modifikuoti „Samba4 AD DC“.

Pirmiausia atidarykite pagrindinį „Samba“ konfigūracijos failą ir pridėkite žemiau esančias eilutes, jei jų nėra, kaip parodyta toliau pateiktoje ekrano kopijoje.

$ sudo nano /etc/samba/smb.conf

Įsitikinkite, kad konfigūracijos faile yra šie teiginiai:

winbind enum users = yes
winbind enum groups = yes

15. Atlikę pakeitimus, naudokite „testparm“ įrankį, kad įsitikintumėte, jog „samba“ konfigūracijos faile nėra klaidų, ir iš naujo paleiskite „samba“ demonus išleisdami žemiau esančią komandą.

$ testparm
$ sudo systemctl restart samba-ad-dc.service

16. Toliau turime modifikuoti vietinius PAM konfigūracijos failus, kad „Samba4 Active Directory“ paskyros galėtų autentifikuoti ir atidaryti sesiją vietinėje sistemoje ir sukurti namų katalogą vartotojams pirmą kartą prisijungus.

Naudokite komandą pam-auth-update, kad atidarytumėte PAM konfigūracijos eilutę, ir įsitikinkite, kad įgalinote visus PAM profilius naudodami klavišą [tarpas] , kaip parodyta toliau pateiktoje ekrano kopijoje.

Baigę paspauskite klavišą [Tab] , kad pereitumėte į Gerai ir pritaikytumėte pakeitimus.

$ sudo pam-auth-update

17. Dabar atidarykite /etc/nsswitch.conf failą su teksto redaktoriumi ir pridėkite „winbind“ pareiškimą slaptažodžio ir grupės eilučių pabaigoje, kaip parodyta toliau pateiktoje ekrano kopijoje.

$ sudo vi /etc/nsswitch.conf

18. Galiausiai redaguokite /etc/pam.d/common-password failą, ieškokite žemiau esančios eilutės, kaip parodyta žemiau esančioje ekrano kopijoje, ir pašalinkite „use_authtok“ sakinį.

Šis parametras užtikrina, kad „Active Directory“ vartotojai gali pakeisti savo slaptažodį iš komandų eilutės, kai yra patvirtinti „Linux“. Įjungus šį parametrą, „Linux“ vietoje autentifikuoti AD vartotojai negali pakeisti slaptažodžio iš konsolės.

password       [success=1 default=ignore]      pam_winbind.so try_first_pass

Pašalinkite use_authtok parinktį kiekvieną kartą, kai įdiegiami ir pritaikomi PAM naujinimai, arba kiekvieną kartą, kai vykdote komandą pam-auth-update.

19. „Samba4“ dvejetainiuose failuose yra įmontuotas ir pagal numatytuosius nustatymus įgalintas „winbindd“ demonas.

Dėl šios priežasties jums nebereikia atskirai įjungti ir paleisti „winbind“ deemono, kurį teikia „Winbind“ paketas iš oficialių „Ubuntu“ saugyklų.

Jei sistemoje paleidžiama sena ir nebenaudojama „winbind“ paslauga, būtinai ją išjunkite ir sustabdykite paslaugą pateikdami šias komandas:

$ sudo systemctl disable winbind.service
$ sudo systemctl stop winbind.service

Nors mums nebereikia paleisti senojo „winbind“ demono, vis tiek turime įdiegti „Winbind“ paketą iš saugyklų, kad galėtume įdiegti ir naudoti „wbinfo“ įrankį.

„Wbinfo“ įrankis gali būti naudojamas „Active Directory“ vartotojams ir grupėms pateikti užklausas „Winbindd“ deemono požiūriu.

Šios komandos parodo, kaip pateikti užklausą AD vartotojams ir grupėms naudojant „wbinfo“.

$ wbinfo -g
$ wbinfo -u
$ wbinfo -i your_domain_user

20. Be „wbinfo“ įrankio, taip pat galite naudoti „getent“ komandų eilutės įrankį, norėdami pateikti užklausą „Active Directory“ duomenų bazei iš „Name Service Switch“ bibliotekų, kurios pateikiamos faile /etc/nsswitch.conf.

Per „grep“ filtrą perkelkite „getent“ komandą, kad susiaurintumėte rezultatus, susijusius tik su jūsų AD srities vartotoju ar grupės duomenų baze.

# getent passwd | grep TECMINT
# getent group | grep TECMINT

3 žingsnis: Prisijunkite prie „Linux“ su „Active Directory“ vartotoju

21. Norėdami autentifikuoti sistemoje su „Samba4 AD“ vartotoju, tiesiog naudokite parametrą AD vartotojo vardas po komandos su - .

Pirmą kartą prisijungus, konsolėje bus rodomas pranešimas, informuojantis jus, kad namų kodas yra sukurtas sistemos kode /home/$DOMAIN/ su jūsų AD vartotojo vardo manija.

Naudokite komandą id norėdami parodyti papildomą informaciją apie autentifikuotą vartotoją.

# su - your_ad_user
$ id
$ exit

22. Sėkmingai prisijungus prie sistemos, norint pakeisti autentifikuoto AD vartotojo tipo slaptažodžio komandą slaptažodžiu konsolėje.

$ su - your_ad_user
$ passwd

23. Pagal numatytuosius nustatymus „Active Directory“ vartotojams nėra suteikiamos root teisės, kad jie galėtų atlikti „Linux“ administracines užduotis.

Norėdami suteikti šakninius įgaliojimus AD vartotojui, turite pridėti vartotojo vardą prie vietinės sudo grupės, išleisdami žemiau esančią komandą.

Įsitikinkite, kad pridėjote sritį, pasvirąjį brūkšnį ir AD vartotojo vardą su atskiromis ASCII kabutėmis.

# usermod -aG sudo 'DOMAIN\your_domain_user'

Norėdami patikrinti, ar AD vartotojas turi root teises vietinėje sistemoje, prisijunkite ir paleiskite komandą, pvz., Apt-get update su sudo leidimais.

# su - tecmint_user
$ sudo apt-get update

24. Jei norite pridėti visų „Active Directory“ grupės paskyrų šaknines teises, redaguokite/etc/sudoers failą naudodami komandą „Visudo“ ir pridėkite žemiau esančią eilutę po šaknies teisių eilute, kaip parodyta žemiau esančiame ekrano kopijoje:

%DOMAIN\\your_domain\  group ALL=(ALL:ALL) ALL

Atkreipkite dėmesį į sudoers sintaksę, kad neišlaužtumėte dalykų.

Sudoers failas nelabai tvarko ASCII kabučių naudojimo, todėl būtinai naudokite % , kad pažymėtumėte, jog nurodote grupę, ir naudokite atgalinį brūkšnį, kad išvengtumėte pirmo pasvirojo brūkšnio po domeno pavadinimą ir dar vieną atgalinį brūkšnį, jei norite išeiti iš tarpų, jei jūsų grupės pavadinime yra tarpų (daugumoje AD integruotų grupių yra tarpų pagal numatytuosius nustatymus). Be to, rašykite karalystę didžiosiomis raidėmis.

Tai kol kas viskas! Tvarkyti „Samba4 AD“ infrastruktūrą taip pat galima naudojant kelis „Windows“ aplinkos įrankius, pvz., ADUC, DNS Manager, GPM ar kitus, kuriuos galite gauti įdiegę RSAT paketą iš „Microsoft“ atsisiuntimo puslapio.

Norint administruoti „Samba4 AD DC“ per RSAT komunalines paslaugas, būtina prisijungti prie „Windows“ sistemos prie „Samba4 Active Directory“. Tai bus mūsų kitos pamokos tema, iki tol sekite „TecMint“.