Weboldal keresés

A Samba4 AD infrastruktúra kezelése Linux parancssorból – 2. rész


Ez az oktatóanyag bemutat néhány alapvető napi parancsot, amelyeket a Samba4 AD Domain Controller infrastruktúra kezeléséhez kell használnia, mint például a felhasználók és csoportok hozzáadása, eltávolítása, letiltása vagy listázása.

Megvizsgáljuk azt is, hogyan kell kezelni a tartománybiztonsági házirendet, és hogyan lehet az AD-felhasználókat helyi PAM-hitelesítéshez kötni annak érdekében, hogy az AD-felhasználók helyi bejelentkezéseket hajthassanak végre a Linux tartományvezérlőn.

Követelmények

  1. Hozzon létre egy AD-infrastruktúrát a Samba4 segítségével az Ubuntu 16.04-en – 1. rész
  2. A Samba4 Active Directory infrastruktúra kezelése Windows10-ből RSAT-on keresztül – 3. rész
  3. A Samba4 AD tartományvezérlő DNS és csoportházirend kezelése a Windows rendszerből – 4. rész

1. lépés: Kezelje a Samba AD DC-t a parancssorból

1. A Samba AD DC a samba-tool parancssori segédprogrammal kezelhető, amely nagyszerű felületet kínál a domain felügyeletéhez.

A samba-tool felület segítségével közvetlenül kezelheti a tartományi felhasználókat és csoportokat, a tartományi csoportházirendet, a tartományi webhelyeket, a DNS-szolgáltatásokat, a tartományreplikációt és más kritikus tartományi funkciókat.

A samba-tool teljes funkciójának áttekintéséhez egyszerűen írja be a parancsot root jogosultságokkal, opció vagy paraméter nélkül.

samba-tool -h

2. Most pedig kezdjük el használni a samba-tool segédprogramot a Samba4 Active Directory adminisztrálására és a felhasználók kezelésére.

Ha felhasználót szeretne létrehozni az AD-ben, használja a következő parancsot:

samba-tool user add your_domain_user

Az AD által megkövetelt több fontos mezővel rendelkező felhasználó hozzáadásához használja a következő szintaxist:

--------- review all options --------- 
samba-tool user add -h  
samba-tool user add your_domain_user --given-name=your_name --surname=your_username [email  --login-shell=/bin/bash

3. A samba AD tartomány összes felhasználójának listája a következő parancs kiadásával érhető el:

samba-tool user list

4. Egy samba AD domain felhasználó törléséhez használja az alábbi szintaxist:

samba-tool user delete your_domain_user

5. Állítsa vissza a samba tartomány felhasználói jelszavát az alábbi parancs végrehajtásával:

samba-tool user setpassword your_domain_user

6. A samba AD felhasználói fiók letiltásához vagy engedélyezéséhez használja az alábbi parancsot:

samba-tool user disable your_domain_user
samba-tool user enable your_domain_user

7. Hasonlóképpen, a samba csoportok a következő parancsszintaxissal kezelhetők:

--------- review all options --------- 
samba-tool group add –h  
samba-tool group add your_domain_group

8. Töröljön egy samba tartománycsoportot az alábbi parancs kiadásával:

samba-tool group delete your_domain_group

9. Az összes samba tartománycsoport megjelenítéséhez futtassa a következő parancsot:

samba-tool group list

10. Egy adott csoport összes samba tartománytagjának listázásához használja a következő parancsot:

samba-tool group listmembers "your_domain group"

11. Tag hozzáadása/eltávolítása egy samba tartománycsoporthoz a következő parancsok egyikének kiadásával történhet:

samba-tool group addmembers your_domain_group your_domain_user
samba-tool group remove members your_domain_group your_domain_user

12. Ahogy korábban említettük, a samba-tool parancssori felület a samba tartományi szabályzatának és biztonságának kezelésére is használható.

A samba tartomány jelszava beállításainak megtekintéséhez használja az alábbi parancsot:

samba-tool domain passwordsettings show

13. A Samba tartományjelszó-házirendjének módosításához, például a jelszó összetettségi szintjének, a jelszó öregedésének, hosszának, hány régi jelszónak kell megjegyezni és a tartományvezérlőhöz szükséges egyéb biztonsági funkciókhoz használja az alábbi képernyőképet. egy útmutató.

---------- List all command options ---------- 
samba-tool domain passwordsettings -h 

Éles környezetben soha ne használja a fent bemutatott jelszóházirend-szabályokat. A fenti beállítások csak bemutató célokat szolgálnak.

2. lépés: Samba helyi hitelesítés Active Directory fiókok használatával

14. Alapértelmezés szerint az AD-felhasználók nem hajthatnak végre helyi bejelentkezést a Linux rendszeren a Samba AD DC környezeten kívül.

Ahhoz, hogy Active Directory fiókkal jelentkezzen be a rendszerbe, el kell végeznie a következő módosításokat Linux rendszerkörnyezetében, és módosítania kell a Samba4 AD DC-t.

Először nyissa meg a Samba fő konfigurációs fájlját, és adja hozzá az alábbi sorokat, ha hiányoznak, az alábbi képernyőképen látható módon.

sudo nano /etc/samba/smb.conf

Győződjön meg arról, hogy a következő utasítások megjelennek a konfigurációs fájlban:

winbind enum users = yes
winbind enum groups = yes

15. A módosítások végrehajtása után a testparm segédprogram segítségével győződjön meg arról, hogy nem található hiba a samba konfigurációs fájljában, és indítsa újra a samba démonokat az alábbi parancs kiadásával.

testparm
sudo systemctl restart samba-ad-dc.service

16. Ezt követően módosítanunk kell a helyi PAM konfigurációs fájlokat, hogy a Samba4 Active Directory fiókok hitelesíthessenek és munkamenetet nyithassanak a helyi rendszeren, és otthont hozzanak létre. címtár a felhasználók számára az első bejelentkezéskor.

A pam-auth-update paranccsal nyissa meg a PAM konfigurációs ablakot, és győződjön meg arról, hogy az összes PAM-profilt engedélyezte a [szóköz] billentyűvel, ahogy az alábbi képernyőképen látható.

Ha végzett, nyomja meg a [Tab] billentyűt az OK lehetőségre lépéshez és a módosítások alkalmazásához.

sudo pam-auth-update

17. Most nyissa meg az /etc/nsswitch.conf fájlt egy szövegszerkesztővel, és adja hozzá a winbind utasítást a jelszó- és csoportsorok végéhez. az alábbi képernyőképen látható módon.

sudo vi /etc/nsswitch.conf

18. Végül szerkessze az /etc/pam.d/common-password fájlt, keresse meg az alábbi sort az alábbi képernyőképen látható módon, és távolítsa el a use_authtok< állítás.

Ez a beállítás biztosítja, hogy az Active Directory-felhasználók parancssorból módosíthatják jelszavukat, miközben Linux alatt hitelesítik őket. Ha ez a beállítás be van kapcsolva, a Linuxon helyileg hitelesített AD-felhasználók nem módosíthatják jelszavukat a konzolról.

password       [success=1 default=ignore]      pam_winbind.so try_first_pass

Távolítsa el a use_authtok beállítást minden alkalommal, amikor a PAM-frissítéseket telepíti és alkalmazza a PAM-modulokra, vagy minden alkalommal, amikor végrehajtja a pam-auth-update parancsot.

19. A Samba4 bináris fájljai beépített winbindd démonnal rendelkeznek, és alapértelmezés szerint engedélyezve vannak.

Emiatt már nem kell külön engedélyeznie és futtatnia a winbind démont, amelyet a winbind csomag biztosít a hivatalos Ubuntu-tárolókból.

Ha a régi és elavult winbind szolgáltatás elindul a rendszeren, feltétlenül tiltsa le, és állítsa le a szolgáltatást az alábbi parancsok kiadásával:

sudo systemctl disable winbind.service
sudo systemctl stop winbind.service

Bár már nem kell a régi winbind démont futtatnunk, a wbinfo eszköz telepítéséhez és használatához továbbra is telepítenünk kell a Winbind csomagot a tárolókból.

A Wbinfo segédprogram használható Active Directory-felhasználók és -csoportok lekérdezésére winbindd démon szempontból.

A következő parancsok bemutatják, hogyan kérdezhet le AD-felhasználókat és csoportokat a wbinfo használatával.

wbinfo -g
wbinfo -u
wbinfo -i your_domain_user

20. A wbinfo segédprogramon kívül a getent parancssori segédprogramot is használhatja az Active Directory-adatbázis lekérdezésére a Name Service Switch könyvtárakból, amelyek a következőben jelennek meg: /etc/nsswitch.conf fájlt.

Vezesse át a getent parancsot egy grep szűrőn keresztül, hogy szűkítse az eredményeket az AD-tartomány felhasználói vagy csoportadatbázisára vonatkozóan.

getent passwd | grep TECMINT
getent group | grep TECMINT

3. lépés: Jelentkezzen be Linuxba egy Active Directory felhasználóval

21. A Samba4 AD felhasználóval való hitelesítéshez használja az AD username paramétert a su - parancsot.

Az első bejelentkezéskor egy üzenet jelenik meg a konzolon, amely értesíti Önt arról, hogy a /home/$DOMAIN/ rendszerútvonalon egy kezdőkönyvtár jött létre az Ön AD-felhasználónevének sörényével.

Az id parancs használatával további információkat jeleníthet meg a hitelesített felhasználóról.

su - your_ad_user
id
exit

22. Egy hitelesített AD-felhasználó jelszavának megváltoztatásához írja be a passwd parancsot a konzolba, miután sikeresen bejelentkezett a rendszerbe.

su - your_ad_user
passwd

23. Alapértelmezés szerint az Active Directory felhasználók nem kapnak root jogosultságokat ahhoz, hogy adminisztrátori feladatokat hajthassanak végre Linuxon.

Ha root jogosultságot szeretne adni egy AD-felhasználónak, hozzá kell adnia a felhasználónevet a helyi sudo csoporthoz az alábbi parancs kiadásával.

Ügyeljen arra, hogy a tartományt, a perjelet és az AD-felhasználónevet egyetlen ASCII idézőjelbe helyezze.

usermod -aG sudo 'DOMAIN\your_domain_user'

Annak teszteléséhez, hogy az AD-felhasználó rendelkezik-e root jogosultságokkal a helyi rendszeren, jelentkezzen be, és futtasson egy parancsot, például az apt-get update parancsot sudo engedélyekkel.

su - tecmint_user
sudo apt-get update

24. Ha egy Active Directory-csoport összes fiókjához root jogosultságokat szeretne hozzáadni, szerkessze az /etc/sudoers fájlt a visudo paranccsal, és adja hozzá az alábbi sort a root jogosultságok sora után az alábbi képernyőképen látható módon:

%DOMAIN\\your_domain\  group ALL=(ALL:ALL) ALL

Ügyeljen a sudoers szintaxisra, hogy ne törjön szét a dolgok.

A Sudoers fájl nem kezeli túl jól az ASCII idézőjelek használatát, ezért ügyeljen arra, hogy a % segítségével jelezze, hogy csoportra hivatkozik, és fordítsa perjelet Ha a csoportnév szóközt tartalmaz, akkor a tartománynév utáni első perjelet és egy másik fordított perjelet szóközök megszakítására használjon (a legtöbb AD beépített csoport alapértelmezés szerint szóközt tartalmaz). Ezenkívül írja be a tartományt nagybetűkkel.

Ez minden most! A Samba4 AD infrastruktúra kezelése a Windows környezet számos eszközével is megvalósítható, például ADUC, DNS Manager, GPM > vagy más, amelyet az RSAT csomag telepítésével szerezhet be a Microsoft letöltési oldaláról.

A Samba4 AD DC RSAT segédprogramokon keresztül történő adminisztrálásához feltétlenül csatlakoznia kell a Windows rendszerhez a Samba4 Active Directory szolgáltatáshoz. Ez lesz a következő oktatóanyagunk témája, addig figyelje a TecMint oldalt.