Kā pārvaldīt Samba4 AD infrastruktūru no Linux komandrindas - 2. daļa
Šajā apmācībā tiks ietvertas dažas ikdienas komandas, kas jums jāizmanto, lai pārvaldītu Samba4 AD domēna kontrollera infrastruktūru, piemēram, lietotāju un grupu pievienošana, noņemšana, atspējošana vai uzskaitīšana.
Mēs arī apskatīsim, kā pārvaldīt domēna drošības politiku un kā piesaistīt AD lietotājus vietējai PAM autentifikācijai, lai AD lietotāji varētu veikt vietējās pieteikšanās Linux domēna kontrolierī.
- Izveidojiet AD infrastruktūru ar Samba4 operētājsistēmā Ubuntu 16.04 - 1. daļa
- Pārvaldiet Samba4 Active Directory infrastruktūru no Windows10, izmantojot RSAT - 3. daļa
- Pārvaldiet Samba4 AD domēna kontrollera DNS un grupas politiku no Windows - 4. daļa
1. solis: Pārvaldiet Samba AD DC no komandrindas
1. Samba AD DC var pārvaldīt, izmantojot komandrindas utilītu samba-tool, kas piedāvā lielisku saskarni sava domēna administrēšanai.
Ar samba rīka saskarnes palīdzību jūs varat tieši pārvaldīt domēna lietotājus un grupas, domēna grupas politiku, domēna vietnes, DNS pakalpojumus, domēna replikāciju un citas kritiskās domēna funkcijas.
Lai pārskatītu visu samba rīka funkcionalitāti, vienkārši ierakstiet komandu ar root tiesībām bez opcijas vai parametra.
# samba-tool -h
2. Tagad sāksim izmantot samba rīku, lai administrētu Samba4 Active Directory un pārvaldītu mūsu lietotājus.
Lai izveidotu lietotāju AD, izmantojiet šādu komandu:
# samba-tool user add your_domain_user
Lai pievienotu lietotāju ar vairākiem svarīgiem AD pieprasītiem laukiem, izmantojiet šādu sintaksi:
--------- review all options --------- # samba-tool user add -h # samba-tool user add your_domain_user --given-name=your_name --surname=your_username [email --login-shell=/bin/bash
3. Visu samba AD domēna lietotāju sarakstu var iegūt, izsniedzot šādu komandu:
# samba-tool user list
4. Lai izdzēstu samba AD domēna lietotāju, izmantojiet šo sintaksi:
# samba-tool user delete your_domain_user
5. Atiestatiet samba domēna lietotāja paroli, izpildot šādu komandu:
# samba-tool user setpassword your_domain_user
6. Lai atspējotu vai iespējotu samba AD lietotāja kontu, izmantojiet šādu komandu:
# samba-tool user disable your_domain_user # samba-tool user enable your_domain_user
7. Tāpat samba grupas var pārvaldīt ar šādu komandu sintaksi:
--------- review all options --------- # samba-tool group add –h # samba-tool group add your_domain_group
8. Izdzēsiet samba domēna grupu, izsniedzot šādu komandu:
# samba-tool group delete your_domain_group
9. Lai parādītu visas samba domēna grupas, izpildiet šādu komandu:
# samba-tool group list
10. Lai uzskaitītu visus samba domēna dalībniekus noteiktā grupā, izmantojiet komandu:
# samba-tool group listmembers "your_domain group"
11. Dalībnieka pievienošanu/noņemšanu no samba domēna grupas var veikt, izsniedzot vienu no šīm komandām:
# samba-tool group addmembers your_domain_group your_domain_user # samba-tool group remove members your_domain_group your_domain_user
12. Kā minēts iepriekš, samba rīka komandrindas interfeisu var izmantot arī, lai pārvaldītu jūsu samba domēna politiku un drošību.
Lai pārskatītu savus samba domēna paroles iestatījumus, izmantojiet šo komandu:
# samba-tool domain passwordsettings show
13. Lai modificētu samba domēna paroles politiku, piemēram, paroles sarežģītības pakāpi, paroles novecošanu, garumu, cik veco paroli atcerēties un citas domēna kontrollerim nepieciešamās drošības funkcijas, izmantojiet zemāk redzamo ekrānuzņēmumu.
---------- List all command options ---------- # samba-tool domain passwordsettings -h
Nekad ražošanas vidē nelietojiet paroļu politikas noteikumus, kā parādīts iepriekš. Iepriekš minētie iestatījumi tiek izmantoti tikai demonstrācijas vajadzībām.
2. solis: Samba vietējā autentifikācija, izmantojot Active Directory kontus
14. Pēc noklusējuma AD lietotāji nevar veikt lokālu pieteikšanos Linux sistēmā ārpus Samba AD DC vides.
Lai pieteiktos sistēmā ar Active Directory kontu, Linux sistēmas vidē ir jāveic šādas izmaiņas un jāpārveido Samba4 AD DC.
Pirmkārt, atveriet samba galveno konfigurācijas failu un pievienojiet zemāk redzamās rindas, ja tās trūkst, kā parādīts zemāk esošajā ekrānuzņēmumā.
$ sudo nano /etc/samba/smb.conf
Pārliecinieties, ka konfigurācijas failā parādās šādi paziņojumi:
winbind enum users = yes winbind enum groups = yes
15. Pēc izmaiņu veikšanas izmantojiet testparm utilītu, lai pārliecinātos, ka samba konfigurācijas failā nav kļūdu, un restartējiet samba dēmonus, izsniedzot tālāk norādīto komandu.
$ testparm $ sudo systemctl restart samba-ad-dc.service
16. Tālāk mums ir jāpārveido vietējie PAM konfigurācijas faili, lai Samba4 Active Directory konti varētu autentificēt un atvērt sesiju vietējā sistēmā un izveidot mājas direktoriju lietotājiem ar pirmo pieteikšanos.
Izmantojiet komandu pam-auth-update, lai atvērtu PAM konfigurācijas uzvedni, un pārliecinieties, vai esat iespējojis visus PAM profilus, izmantojot taustiņu [atstarpe] , kā parādīts zemāk esošajā ekrānuzņēmumā.
Kad esat pabeidzis, nospiediet taustiņu [Tab] , lai pārietu uz Labi un lietotu izmaiņas.
$ sudo pam-auth-update
17. Tagad atveriet failu /etc/nsswitch.conf ar teksta redaktoru un pievienojiet winbind paziņojumu paroles un grupas rindiņu beigās, kā parādīts zemāk redzamajā ekrānuzņēmumā.
$ sudo vi /etc/nsswitch.conf
18. Visbeidzot, rediģējiet failu /etc/pam.d/common-password, meklējiet zemāk redzamo rindu, kā parādīts zemāk esošajā ekrānuzņēmumā, un noņemiet paziņojumu use_authtok.
Šis iestatījums nodrošina, ka Active Directory lietotāji var mainīt paroli no komandrindas, kamēr viņi ir autentificēti Linux. Ja šis iestatījums ir ieslēgts, lokāli Linux autentificēti AD lietotāji nevar mainīt paroli no konsoles.
password [success=1 default=ignore] pam_winbind.so try_first_pass
Noņemiet opciju use_authtok katru reizi, kad tiek instalēti PAM atjauninājumi un tie tiek lietoti PAM moduļiem vai katru reizi, kad izpildāt komandu pam-auth-update.
19. Samba4 bināros failos ir iebūvēts un pēc noklusējuma iespējots winbindd dēmons.
Šī iemesla dēļ vairs nav nepieciešams atsevišķi iespējot un palaist winbind dēmonu, ko nodrošina Winbind pakete no oficiālajām Ubuntu krātuvēm.
Gadījumā, ja sistēmā tiek palaists vecais un novecojušais winbind pakalpojums, noteikti atspējojiet to un pārtrauciet pakalpojumu, izsniedzot šādas komandas:
$ sudo systemctl disable winbind.service $ sudo systemctl stop winbind.service
Lai gan mums vairs nav nepieciešams palaist veco winbind dēmonu, mums joprojām ir jāinstalē Winbind pakotne no krātuvēm, lai instalētu un izmantotu wbinfo rīku.
Wbinfo utilītu var izmantot Active Directory lietotāju un grupu vaicāšanai no winbindd dēmona viedokļa.
Šīs komandas parāda, kā vaicāt AD lietotājiem un grupām, izmantojot wbinfo.
$ wbinfo -g $ wbinfo -u $ wbinfo -i your_domain_user
20. Papildus wbinfo lietderībai varat arī izmantot getent komandrindas utilītu, lai vaicātu Active Directory datu bāzei no Name Service Switch bibliotēkām, kuras ir attēlotas /etc/nsswitch.conf failā.
Caur grep filtru ievadiet komandu getent, lai sašaurinātu rezultātus tikai attiecībā uz jūsu AD jomas lietotāju vai grupas datu bāzi.
# getent passwd | grep TECMINT # getent group | grep TECMINT
3. solis: Piesakieties Linux ar Active Directory lietotāju
21. Lai sistēmā autentificētos ar Samba4 AD lietotāju, pēc komandas su - vienkārši izmantojiet parametru AD lietotājvārds.
Pirmo reizi piesakoties, konsolē tiks parādīts ziņojums, kas paziņo, ka mājas ceļvedis ir izveidots sistēmas ceļā /home/$DOMAIN/ ar jūsu AD lietotājvārdu.
Izmantojiet komandu id, lai parādītu papildu informāciju par autentificēto lietotāju.
# su - your_ad_user $ id $ exit
22. Lai veiksmīgi pieteiktos sistēmā, konsolē nomainītu autentificēta AD lietotāja tipa passwd komandas paroli.
$ su - your_ad_user $ passwd
23. Pēc noklusējuma Active Directory lietotājiem netiek piešķirtas root tiesības, lai veiktu administratīvos uzdevumus Linux.
Lai piešķirtu root pilnvaras AD lietotājam, jums jāpievieno lietotājvārds vietējai sudo grupai, izsniedzot tālāk norādīto komandu.
Pārliecinieties, ka pievienojat valstību, slīpsvītru un AD lietotājvārdu ar atsevišķām ASCII pēdiņām.
# usermod -aG sudo 'DOMAIN\your_domain_user'
Lai pārbaudītu, vai AD lietotājam ir root privilēģijas vietējā sistēmā, piesakieties un palaidiet komandu, piemēram, apt-get update, ar sudo atļaujām.
# su - tecmint_user $ sudo apt-get update
24. Ja vēlaties pievienot root tiesības visiem Active Directory grupas kontiem, rediģējiet failu/etc/sudoers, izmantojot komandu visudo, un pievienojiet zem rindas pēc saknes privilēģiju rindas, kā parādīts zemāk esošajā ekrānuzņēmumā:
%DOMAIN\\your_domain\ group ALL=(ALL:ALL) ALL
Pievērsiet uzmanību sudoeru sintaksei, lai neizjauktu lietas.
Sudoers fails ļoti labi netiek galā ar ASCII pēdiņu lietošanu, tāpēc noteikti izmantojiet % , lai apzīmētu, ka atsaucaties uz grupu, un izmantojiet atpakaļ slīpsvītru, lai izvairītos no pirmās slīpsvītras pēc domēna nosaukums un cits slīpsvītra, lai izvairītos no atstarpēm, ja jūsu grupas nosaukumā ir atstarpes (lielākajā daļā AD iebūvēto grupu pēc noklusējuma ir atstarpes). Uzrakstiet valstību arī ar lielajiem burtiem.
Tas pagaidām ir viss! Samba4 AD infrastruktūras pārvaldību var panākt arī ar vairākiem Windows vides rīkiem, piemēram, ADUC, DNS Manager, GPM vai citiem, kurus var iegūt, instalējot RSAT pakotni no Microsoft lejupielādes lapas.
Lai administrētu Samba4 AD DC, izmantojot RSAT utilītus, ir absolūti nepieciešams pievienoties Windows sistēmai Samba4 Active Directory. Par to būs mūsu nākamās apmācības tēma, līdz tam sekojiet līdzi TecMint.