Hvordan administrere Samba4 AD-infrastruktur fra Linux-kommandolinjen - del 2

Denne opplæringen vil dekke noen grunnleggende daglige kommandoer du må bruke for å administrere Samba4 AD Domain Controller-infrastruktur, for eksempel å legge til, fjerne, deaktivere eller føre opp brukere og grupper.

Vi vil også ta en titt på hvordan du administrerer domenesikkerhetspolicy og hvordan du binder AD-brukere til lokal PAM-autentisering for at AD-brukere skal kunne utføre lokale pålogginger på Linux Domain Controller.

Krav

  1. Lag en AD-infrastruktur med Samba4 på Ubuntu 16.04 – Del 1
  2. Administrer Samba4 Active Directory Infrastructure fra Windows10 via RSAT – Del 3
  3. Administrer Samba4 AD Domain Controller DNS og gruppepolicy fra Windows – Del 4

Trinn 1: Administrer Samba AD DC fra kommandolinjen

1. Samba AD DC kan administreres gjennom kommandolinjeverktøyet samba-tool som tilbyr et flott grensesnitt for å administrere domenet ditt.

Ved hjelp av samba-tool-grensesnittet kan du direkte administrere domenebrukere og -grupper, domenegruppepolicy, domenesider, DNS-tjenester, domenereplikering og andre kritiske domenefunksjoner.

For å se gjennom hele funksjonaliteten til samba-tool, skriv inn kommandoen med root-privilegier uten noe alternativ eller parameter.

samba-tool -h

2. La oss nå begynne å bruke samba-tool-verktøyet for å administrere Samba4 Active Directory og administrere brukerne våre.

For å opprette en bruker på AD bruk følgende kommando:

samba-tool user add your_domain_user

For å legge til en bruker med flere viktige felt som kreves av AD, bruk følgende syntaks:

--------- review all options --------- 
samba-tool user add -h  
samba-tool user add your_domain_user --given-name=your_name --surname=your_username [email  --login-shell=/bin/bash

3. En liste over alle samba AD-domenebrukere kan fås ved å utstede følgende kommando:

samba-tool user list

4. For å slette en samba AD-domenebruker, bruk syntaksen nedenfor:

samba-tool user delete your_domain_user

5. Tilbakestill et samba-domene brukerpassord ved å utføre kommandoen nedenfor:

samba-tool user setpassword your_domain_user

6. For å deaktivere eller aktivere en samba AD-brukerkonto, bruk kommandoen nedenfor:

samba-tool user disable your_domain_user
samba-tool user enable your_domain_user

7. På samme måte kan samba-grupper administreres med følgende kommandosyntaks:

--------- review all options --------- 
samba-tool group add –h  
samba-tool group add your_domain_group

8. Slett en samba-domenegruppe ved å gi kommandoen nedenfor:

samba-tool group delete your_domain_group

9. For å vise alle samba-domenegrupper, kjør følgende kommando:

samba-tool group list

10. For å liste opp alle samba-domenemedlemmene i en bestemt gruppe, bruk kommandoen:

samba-tool group listmembers "your_domain group"

11. Legge til/fjerne et medlem fra en samba-domenegruppe kan gjøres ved å utstede en av følgende kommandoer:

samba-tool group addmembers your_domain_group your_domain_user
samba-tool group remove members your_domain_group your_domain_user

12. Som nevnt tidligere, kan samba-tool kommandolinjegrensesnitt også brukes til å administrere samba-domenepolicy og sikkerhet.

For å se gjennom samba-domenepassordinnstillingene, bruk kommandoen nedenfor:

samba-tool domain passwordsettings show

13. For å endre samba-domenepassordpolitikken, for eksempel passordkompleksitetsnivået, passordaldring, lengde, hvor mange gamle passord du skal huske og andre sikkerhetsfunksjoner som kreves for en domenekontroller, bruk skjermbildet nedenfor som en guide.

---------- List all command options ---------- 
samba-tool domain passwordsettings -h

Bruk aldri passordpolicyreglene som illustrert ovenfor i et produksjonsmiljø. Innstillingene ovenfor brukes kun for demonstrasjonsformål.

Trinn 2: Samba lokal autentisering ved hjelp av Active Directory-kontoer

14. Som standard kan AD-brukere ikke utføre lokale pålogginger på Linux-systemet utenfor Samba AD DC-miljøet.

For å logge på systemet med en Active Directory-konto må du gjøre følgende endringer i Linux-systemmiljøet ditt og endre Samba4 AD DC.

Først åpner du samba hovedkonfigurasjonsfil og legger til linjene nedenfor, hvis de mangler, som illustrert på skjermbildet nedenfor.

sudo nano /etc/samba/smb.conf

Sørg for at følgende utsagn vises på konfigurasjonsfilen:

winbind enum users = yes
winbind enum groups = yes

15. Etter at du har gjort endringene, bruk testparm-verktøyet for å sikre at ingen feil blir funnet på samba-konfigurasjonsfilen, og start samba-demoner på nytt ved å gi kommandoen nedenfor.

testparm
sudo systemctl restart samba-ad-dc.service

16. Deretter må vi endre lokale PAM-konfigurasjonsfiler for at Samba4 Active Directory-kontoer skal kunne autentisere og åpne en økt på det lokale systemet og opprette et hjem katalog for brukere ved første pålogging.

Bruk kommandoen pam-auth-update for å åpne PAM-konfigurasjonsforespørselen og sørg for at du aktiverer alle PAM-profiler ved å bruke [mellomrom]-tasten som illustrert på skjermbildet nedenfor.

Når du er ferdig, trykk [Tab]-tasten for å gå til Ok og ta i bruk endringer.

sudo pam-auth-update

17. Åpne nå /etc/nsswitch.conf-filen med et tekstredigeringsprogram og legg til winbind-setning på slutten av passord- og gruppelinjene som illustrert på skjermbildet nedenfor.

sudo vi /etc/nsswitch.conf

18. Til slutt, rediger filen /etc/pam.d/common-password, søk etter linjen nedenfor som illustrert på skjermbildet nedenfor og fjern use_authtok< uttalelse.

Denne innstillingen sikrer at Active Directory-brukere kan endre passordet sitt fra kommandolinjen mens de er autentisert i Linux. Med denne innstillingen på, kan AD-brukere som er autentisert lokalt på Linux ikke endre passordet sitt fra konsollen.

password       [success=1 default=ignore]      pam_winbind.so try_first_pass

Fjern use_authtok-alternativet hver gang PAM-oppdateringer installeres og brukes på PAM-moduler eller hver gang du utfører kommandoen pam-auth-update.

19. Samba4-binærfiler kommer med en winbindd-demon innebygd og aktivert som standard.

Av denne grunn trenger du ikke lenger å aktivere og kjøre winbind-demonen separat fra pakken winbind fra offisielle Ubuntu-repositorier.

I tilfelle den gamle og utdaterte winbind-tjenesten startes på systemet, må du deaktivere den og stoppe tjenesten ved å utstede kommandoene nedenfor:

sudo systemctl disable winbind.service
sudo systemctl stop winbind.service

Selv om vi ikke lenger trenger å kjøre gammel winbind-daemon, må vi fortsatt installere Winbind-pakken fra repositories for å installere og bruke wbinfo-verktøyet.

Verktøyet Wbinfo kan brukes til å spørre Active Directory-brukere og -grupper fra winbindd-demonens synspunkt.

Følgende kommandoer illustrerer hvordan du spør AD-brukere og -grupper ved hjelp av wbinfo.

wbinfo -g
wbinfo -u
wbinfo -i your_domain_user

20. Bortsett fra verktøyet wbinfo kan du også bruke kommandolinjeverktøyet getent til å søke i Active Directory-databasen fra Name Service Switch-biblioteker som er representert i /etc/nsswitch.conf fil.

Pip getent-kommandoen gjennom et grep-filter for å begrense resultatene for kun din AD-rike-bruker- eller gruppedatabase.

getent passwd | grep TECMINT
getent group | grep TECMINT

Trinn 3: Logg på Linux med en Active Directory-bruker

21. For å autentisere på systemet med en Samba4 AD-bruker, bruk AD-brukernavn-parameteren etter su - kode> kommando.

Ved første pålogging vil en melding vises på konsollen som varsler deg om at en hjemmekatalog er opprettet på /home/$DOMAIN/ systembanen med manken til ditt AD-brukernavn.

Bruk id-kommandoen for å vise ekstra informasjon om den autentiserte brukeren.

su - your_ad_user
id
exit

22. For å endre passordet for en autentisert AD-bruker, skriv inn passwd-kommando i konsollen etter at du har logget på systemet.

su - your_ad_user
passwd

23. Som standard gis ikke Active Directory-brukere rotrettigheter for å utføre administrative oppgaver på Linux.

For å gi root-krefter til en AD-bruker må du legge til brukernavnet til den lokale sudo-gruppen ved å gi kommandoen nedenfor.

Sørg for at du omslutter riket, skråstrek og AD-brukernavn med enkle ASCII-anførselstegn.

usermod -aG sudo 'DOMAIN\your_domain_user'

For å teste om AD-bruker har root-privilegier på det lokale systemet, logg på og kjør en kommando, for eksempel apt-get update, med sudo-tillatelser.

su - tecmint_user
sudo apt-get update

24. Hvis du ønsker å legge til root-privilegier for alle kontoer i en Active Directory-gruppe, rediger filen /etc/sudoers ved å bruke visudo-kommandoen og legg til linjen under etter rotrettighetslinjen, som illustrert på skjermbildet nedenfor:

%DOMAIN\\your_domain\  group ALL=(ALL:ALL) ALL

Vær oppmerksom på sudoers-syntaksen slik at du ikke bryter ut ting.

Sudoers-filen håndterer ikke bruken av ASCII-anførselstegn særlig godt, så pass på at du bruker % for å angi at du refererer til en gruppe og bruk en omvendt skråstrek for å escape den første skråstreken etter domenenavnet og en annen omvendt skråstrek for å unnslippe mellomrom hvis gruppenavnet ditt inneholder mellomrom (de fleste av AD innebygde grupper inneholder mellomrom som standard). Skriv også riket med store bokstaver.

Det er alt for nå! Administrasjon av Samba4 AD-infrastruktur kan også oppnås med flere verktøy fra Windows-miljøet, for eksempel ADUC, DNS Manager, GPM > eller andre, som kan fås ved å installere RSAT-pakken fra Microsofts nedlastingsside.

For å administrere Samba4 AD DC gjennom RSAT-verktøy, er det helt nødvendig å koble til Windows-systemet i Samba4 Active Directory. Dette vil være temaet for vår neste opplæring, inntil da følg med på TecMint.