A Samba4 AD infrastruktúra kezelése Linux parancssorból – 2. rész
Ez az oktatóanyag bemutat néhány alapvető napi parancsot, amelyeket a Samba4 AD Domain Controller infrastruktúra kezeléséhez kell használnia, mint például a felhasználók és csoportok hozzáadása, eltávolítása, letiltása vagy listázása.
Megvizsgáljuk azt is, hogyan kell kezelni a tartománybiztonsági házirendet, és hogyan lehet az AD-felhasználókat helyi PAM-hitelesítéshez kötni annak érdekében, hogy az AD-felhasználók helyi bejelentkezéseket hajthassanak végre a Linux tartományvezérlőn.
Követelmények
- Hozzon létre egy AD-infrastruktúrát a Samba4 segítségével az Ubuntu 16.04-en – 1. rész
- A Samba4 Active Directory infrastruktúra kezelése Windows10-ből RSAT-on keresztül – 3. rész
- A Samba4 AD tartományvezérlő DNS és csoportházirend kezelése a Windows rendszerből – 4. rész
1. lépés: Kezelje a Samba AD DC-t a parancssorból
1. A Samba AD DC a samba-tool parancssori segédprogrammal kezelhető, amely nagyszerű felületet kínál a domain felügyeletéhez.
A samba-tool felület segítségével közvetlenül kezelheti a tartományi felhasználókat és csoportokat, a tartományi csoportházirendet, a tartományi webhelyeket, a DNS-szolgáltatásokat, a tartományreplikációt és más kritikus tartományi funkciókat.
A samba-tool teljes funkciójának áttekintéséhez egyszerűen írja be a parancsot root jogosultságokkal, opció vagy paraméter nélkül.
samba-tool -h
2. Most pedig kezdjük el használni a samba-tool segédprogramot a Samba4 Active Directory adminisztrálására és a felhasználók kezelésére.
Ha felhasználót szeretne létrehozni az AD-ben, használja a következő parancsot:
samba-tool user add your_domain_user
Az AD által megkövetelt több fontos mezővel rendelkező felhasználó hozzáadásához használja a következő szintaxist:
--------- review all options ---------
samba-tool user add -h
samba-tool user add your_domain_user --given-name=your_name --surname=your_username [email --login-shell=/bin/bash
3. A samba AD tartomány összes felhasználójának listája a következő parancs kiadásával érhető el:
samba-tool user list
4. Egy samba AD domain felhasználó törléséhez használja az alábbi szintaxist:
samba-tool user delete your_domain_user
5. Állítsa vissza a samba tartomány felhasználói jelszavát az alábbi parancs végrehajtásával:
samba-tool user setpassword your_domain_user
6. A samba AD felhasználói fiók letiltásához vagy engedélyezéséhez használja az alábbi parancsot:
samba-tool user disable your_domain_user
samba-tool user enable your_domain_user
7. Hasonlóképpen, a samba csoportok a következő parancsszintaxissal kezelhetők:
--------- review all options ---------
samba-tool group add –h
samba-tool group add your_domain_group
8. Töröljön egy samba tartománycsoportot az alábbi parancs kiadásával:
samba-tool group delete your_domain_group
9. Az összes samba tartománycsoport megjelenítéséhez futtassa a következő parancsot:
samba-tool group list
10. Egy adott csoport összes samba tartománytagjának listázásához használja a következő parancsot:
samba-tool group listmembers "your_domain group"
11. Tag hozzáadása/eltávolítása egy samba tartománycsoporthoz a következő parancsok egyikének kiadásával történhet:
samba-tool group addmembers your_domain_group your_domain_user
samba-tool group remove members your_domain_group your_domain_user
12. Ahogy korábban említettük, a samba-tool parancssori felület a samba tartományi szabályzatának és biztonságának kezelésére is használható.
A samba tartomány jelszava beállításainak megtekintéséhez használja az alábbi parancsot:
samba-tool domain passwordsettings show
13. A Samba tartományjelszó-házirendjének módosításához, például a jelszó összetettségi szintjének, a jelszó öregedésének, hosszának, hány régi jelszónak kell megjegyezni és a tartományvezérlőhöz szükséges egyéb biztonsági funkciókhoz használja az alábbi képernyőképet. egy útmutató.
---------- List all command options ----------
samba-tool domain passwordsettings -h
Éles környezetben soha ne használja a fent bemutatott jelszóházirend-szabályokat. A fenti beállítások csak bemutató célokat szolgálnak.
2. lépés: Samba helyi hitelesítés Active Directory fiókok használatával
14. Alapértelmezés szerint az AD-felhasználók nem hajthatnak végre helyi bejelentkezést a Linux rendszeren a Samba AD DC környezeten kívül.
Ahhoz, hogy Active Directory fiókkal jelentkezzen be a rendszerbe, el kell végeznie a következő módosításokat Linux rendszerkörnyezetében, és módosítania kell a Samba4 AD DC-t.
Először nyissa meg a Samba fő konfigurációs fájlját, és adja hozzá az alábbi sorokat, ha hiányoznak, az alábbi képernyőképen látható módon.
sudo nano /etc/samba/smb.conf
Győződjön meg arról, hogy a következő utasítások megjelennek a konfigurációs fájlban:
winbind enum users = yes
winbind enum groups = yes
15. A módosítások végrehajtása után a testparm segédprogram segítségével győződjön meg arról, hogy nem található hiba a samba konfigurációs fájljában, és indítsa újra a samba démonokat az alábbi parancs kiadásával.
testparm
sudo systemctl restart samba-ad-dc.service
16. Ezt követően módosítanunk kell a helyi PAM konfigurációs fájlokat, hogy a Samba4 Active Directory fiókok hitelesíthessenek és munkamenetet nyithassanak a helyi rendszeren, és otthont hozzanak létre. címtár a felhasználók számára az első bejelentkezéskor.
A pam-auth-update paranccsal nyissa meg a PAM konfigurációs ablakot, és győződjön meg arról, hogy az összes PAM-profilt engedélyezte a [szóköz]
billentyűvel, ahogy az alábbi képernyőképen látható.
Ha végzett, nyomja meg a [Tab]
billentyűt az OK lehetőségre lépéshez és a módosítások alkalmazásához.
sudo pam-auth-update
17. Most nyissa meg az /etc/nsswitch.conf fájlt egy szövegszerkesztővel, és adja hozzá a winbind utasítást a jelszó- és csoportsorok végéhez. az alábbi képernyőképen látható módon.
sudo vi /etc/nsswitch.conf
18. Végül szerkessze az /etc/pam.d/common-password fájlt, keresse meg az alábbi sort az alábbi képernyőképen látható módon, és távolítsa el a use_authtok< állítás.
Ez a beállítás biztosítja, hogy az Active Directory-felhasználók parancssorból módosíthatják jelszavukat, miközben Linux alatt hitelesítik őket. Ha ez a beállítás be van kapcsolva, a Linuxon helyileg hitelesített AD-felhasználók nem módosíthatják jelszavukat a konzolról.
password [success=1 default=ignore] pam_winbind.so try_first_pass
Távolítsa el a use_authtok beállítást minden alkalommal, amikor a PAM-frissítéseket telepíti és alkalmazza a PAM-modulokra, vagy minden alkalommal, amikor végrehajtja a pam-auth-update parancsot.
19. A Samba4 bináris fájljai beépített winbindd démonnal rendelkeznek, és alapértelmezés szerint engedélyezve vannak.
Emiatt már nem kell külön engedélyeznie és futtatnia a winbind démont, amelyet a winbind csomag biztosít a hivatalos Ubuntu-tárolókból.
Ha a régi és elavult winbind szolgáltatás elindul a rendszeren, feltétlenül tiltsa le, és állítsa le a szolgáltatást az alábbi parancsok kiadásával:
sudo systemctl disable winbind.service
sudo systemctl stop winbind.service
Bár már nem kell a régi winbind démont futtatnunk, a wbinfo eszköz telepítéséhez és használatához továbbra is telepítenünk kell a Winbind csomagot a tárolókból.
A Wbinfo segédprogram használható Active Directory-felhasználók és -csoportok lekérdezésére winbindd démon szempontból.
A következő parancsok bemutatják, hogyan kérdezhet le AD-felhasználókat és csoportokat a wbinfo használatával.
wbinfo -g
wbinfo -u
wbinfo -i your_domain_user
20. A wbinfo segédprogramon kívül a getent parancssori segédprogramot is használhatja az Active Directory-adatbázis lekérdezésére a Name Service Switch könyvtárakból, amelyek a következőben jelennek meg: /etc/nsswitch.conf fájlt.
Vezesse át a getent parancsot egy grep szűrőn keresztül, hogy szűkítse az eredményeket az AD-tartomány felhasználói vagy csoportadatbázisára vonatkozóan.
getent passwd | grep TECMINT
getent group | grep TECMINT
3. lépés: Jelentkezzen be Linuxba egy Active Directory felhasználóval
21. A Samba4 AD felhasználóval való hitelesítéshez használja az AD username paramétert a su - parancsot.
Az első bejelentkezéskor egy üzenet jelenik meg a konzolon, amely értesíti Önt arról, hogy a /home/$DOMAIN/
rendszerútvonalon egy kezdőkönyvtár jött létre az Ön AD-felhasználónevének sörényével.
Az id parancs használatával további információkat jeleníthet meg a hitelesített felhasználóról.
su - your_ad_user
id
exit
22. Egy hitelesített AD-felhasználó jelszavának megváltoztatásához írja be a passwd parancsot a konzolba, miután sikeresen bejelentkezett a rendszerbe.
su - your_ad_user
passwd
23. Alapértelmezés szerint az Active Directory felhasználók nem kapnak root jogosultságokat ahhoz, hogy adminisztrátori feladatokat hajthassanak végre Linuxon.
Ha root jogosultságot szeretne adni egy AD-felhasználónak, hozzá kell adnia a felhasználónevet a helyi sudo csoporthoz az alábbi parancs kiadásával.
Ügyeljen arra, hogy a tartományt, a perjelet és az AD-felhasználónevet egyetlen ASCII idézőjelbe helyezze.
usermod -aG sudo 'DOMAIN\your_domain_user'
Annak teszteléséhez, hogy az AD-felhasználó rendelkezik-e root jogosultságokkal a helyi rendszeren, jelentkezzen be, és futtasson egy parancsot, például az apt-get update parancsot sudo engedélyekkel.
su - tecmint_user
sudo apt-get update
24. Ha egy Active Directory-csoport összes fiókjához root jogosultságokat szeretne hozzáadni, szerkessze az /etc/sudoers fájlt a visudo paranccsal, és adja hozzá az alábbi sort a root jogosultságok sora után az alábbi képernyőképen látható módon:
%DOMAIN\\your_domain\ group ALL=(ALL:ALL) ALL
Ügyeljen a sudoers szintaxisra, hogy ne törjön szét a dolgok.
A Sudoers fájl nem kezeli túl jól az ASCII idézőjelek használatát, ezért ügyeljen arra, hogy a %
segítségével jelezze, hogy csoportra hivatkozik, és fordítsa perjelet Ha a csoportnév szóközt tartalmaz, akkor a tartománynév utáni első perjelet és egy másik fordított perjelet szóközök megszakítására használjon (a legtöbb AD beépített csoport alapértelmezés szerint szóközt tartalmaz). Ezenkívül írja be a tartományt nagybetűkkel.
Ez minden most! A Samba4 AD infrastruktúra kezelése a Windows környezet számos eszközével is megvalósítható, például ADUC, DNS Manager, GPM > vagy más, amelyet az RSAT csomag telepítésével szerezhet be a Microsoft letöltési oldaláról.
A Samba4 AD DC RSAT segédprogramokon keresztül történő adminisztrálásához feltétlenül csatlakoznia kell a Windows rendszerhez a Samba4 Active Directory szolgáltatáshoz. Ez lesz a következő oktatóanyagunk témája, addig figyelje a TecMint oldalt.