Kako upravljati Samba4 AD infrastrukturom iz Linux naredbenog retka - 2. dio
Ovaj vodič će pokriti neke osnovne dnevne naredbe koje trebate koristiti kako biste upravljali infrastrukturom Samba4 AD Domain Controller, poput dodavanja, uklanjanja, onemogućavanja ili popisa korisnika i grupa.
Također ćemo pogledati kako upravljati sigurnosnom politikom domene i kako povezati AD korisnike s lokalnom PAM autentifikacijom kako bi AD korisnici mogli izvršiti lokalne prijave na Linux kontroleru domene.
Zahtjevi
- Stvorite AD infrastrukturu sa Samba4 na Ubuntu 16.04 – 1. dio
- Upravljajte Samba4 Active Directory infrastrukturom iz sustava Windows10 putem RSAT-a – dio 3
- Upravljajte DNS-om i pravilima grupe Samba4 AD kontrolera domene iz sustava Windows – 4. dio
Korak 1: Upravljajte Samba AD DC iz naredbenog retka
1. Samba AD DC može se upravljati putem samba-tool pomoćnog programa naredbenog retka koji nudi sjajno sučelje za administraciju vaše domene.
Uz pomoć samba-tool sučelja možete izravno upravljati korisnicima domene i grupama, pravilima grupe domene, stranicama domene, DNS uslugama, replikacijom domene i drugim kritičnim funkcijama domene.
Za pregled cjelokupne funkcionalnosti samba-tool-a samo upišite naredbu s root privilegijama bez ikakve opcije ili parametra.
samba-tool -h
2. Sada, počnimo koristiti uslužni program samba-tool za administriranje Samba4 Active Directory i upravljanje našim korisnicima.
Kako biste kreirali korisnika na AD koristite sljedeću naredbu:
samba-tool user add your_domain_user
Za dodavanje korisnika s nekoliko važnih polja koja zahtijeva AD, koristite sljedeću sintaksu:
--------- review all options ---------
samba-tool user add -h
samba-tool user add your_domain_user --given-name=your_name --surname=your_username [email --login-shell=/bin/bash
3. Popis svih korisnika samba AD domene može se dobiti izdavanjem sljedeće naredbe:
samba-tool user list
4. Za brisanje korisnika domene samba AD koristite donju sintaksu:
samba-tool user delete your_domain_user
5. Poništite korisničku lozinku samba domene izvršavanjem donje naredbe:
samba-tool user setpassword your_domain_user
6. Kako biste onemogućili ili omogućili samba AD korisnički račun koristite naredbu u nastavku:
samba-tool user disable your_domain_user
samba-tool user enable your_domain_user
7. Isto tako, samba grupama može se upravljati sljedećom sintaksom naredbi:
--------- review all options ---------
samba-tool group add –h
samba-tool group add your_domain_group
8. Izbrišite samba grupu domene izdavanjem donje naredbe:
samba-tool group delete your_domain_group
9. Za prikaz svih samba grupa domena pokrenite sljedeću naredbu:
samba-tool group list
10. Za popis svih članova samba domene u određenoj grupi koristite naredbu:
samba-tool group listmembers "your_domain group"
11. Dodavanje/uklanjanje člana iz grupe samba domene može se izvršiti izdavanjem jedne od sljedećih naredbi:
samba-tool group addmembers your_domain_group your_domain_user
samba-tool group remove members your_domain_group your_domain_user
12. Kao što je ranije spomenuto, samba-tool sučelje naredbenog retka također se može koristiti za upravljanje vašom politikom domene Samba i sigurnošću.
Za pregled postavki zaporke domene Samba koristite naredbu u nastavku:
samba-tool domain passwordsettings show
13. Kako biste izmijenili politiku lozinki domene samba, kao što je razina složenosti lozinke, starost lozinke, duljina, koliko starih lozinki treba zapamtiti i druge sigurnosne značajke potrebne za kontroler domene, upotrijebite snimak zaslona u nastavku kao vodič.
---------- List all command options ----------
samba-tool domain passwordsettings -h
Nikada nemojte koristiti pravila politike lozinki kao što je ilustrirano gore u proizvodnom okruženju. Gore navedene postavke koriste se samo u svrhu demonstracije.
Korak 2: Samba lokalna provjera autentičnosti pomoću računa Active Directory
14. Prema zadanim postavkama, AD korisnici ne mogu izvršiti lokalne prijave na Linux sustav izvan Samba AD DC okruženja.
Kako biste se prijavili na sustav s Active Directory računom, trebate izvršiti sljedeće promjene u okruženju svog Linux sustava i modificirati Samba4 AD DC.
Prvo otvorite glavnu konfiguracijsku datoteku sambe i dodajte donje retke, ako nedostaju, kao što je ilustrirano na slici ispod.
sudo nano /etc/samba/smb.conf
Provjerite pojavljuju li se sljedeće izjave u konfiguracijskoj datoteci:
winbind enum users = yes
winbind enum groups = yes
15. Nakon što izvršite promjene, upotrijebite uslužni program testparm kako biste bili sigurni da nema grešaka u samba konfiguracijskoj datoteci i ponovno pokrenite samba demone izdavanjem donje naredbe.
testparm
sudo systemctl restart samba-ad-dc.service
16. Zatim moramo modificirati lokalne PAM konfiguracijske datoteke kako bi Samba4 Active Directory računi mogli autentificirati i otvoriti sesiju na lokalnom sustavu i stvoriti dom imenik za korisnike pri prvoj prijavi.
Upotrijebite naredbu pam-auth-update da biste otvorili upit za konfiguraciju PAM-a i provjerite jeste li omogućili sve PAM profile pomoću tipke [space] kao što je prikazano na slici ispod.
Kada završite, pritisnite tipku [Tab] za pomak na U redu i primijenite promjene.
sudo pam-auth-update
17. Sada, otvorite /etc/nsswitch.conf datoteku s uređivačem teksta i dodajte winbind izjavu na kraju redaka zaporke i grupe kao što je prikazano na slici ispod.
sudo vi /etc/nsswitch.conf
18. Na kraju, uredite datoteku /etc/pam.d/common-password, potražite donji redak kao što je ilustrirano na slici ispod i uklonite use_authtok< izjava.
Ova postavka osigurava da korisnici Active Directory mogu promijeniti svoju lozinku iz naredbenog retka dok su autentificirani u Linuxu. S ovom postavkom uključenom, AD korisnici koji su lokalno autentificirani na Linuxu ne mogu promijeniti svoju lozinku s konzole.
password [success=1 default=ignore] pam_winbind.so try_first_pass
Uklonite opciju use_authtok svaki put kada se PAM ažuriranja instaliraju i primjenjuju na PAM module ili svaki put kada izvršite naredbu pam-auth-update.
19. Samba4 binarne datoteke dolaze s winbindd demonom ugrađenim i omogućenim prema zadanim postavkama.
Iz tog razloga više ne morate zasebno omogućiti i pokrenuti winbind daemon koji pruža winbind paket iz službenih Ubuntu repozitorija.
U slučaju da je stara i zastarjela usluga winbind pokrenuta na sustavu, svakako je onemogućite i zaustavite uslugu izdavanjem naredbi u nastavku:
sudo systemctl disable winbind.service
sudo systemctl stop winbind.service
Iako više ne moramo pokretati stari winbind daemon, i dalje moramo instalirati Winbind paket iz repozitorija kako bismo instalirali i koristili wbinfo alat.
Uslužni program Wbinfo može se koristiti za postavljanje upita korisnicima i grupama aktivnog imenika s gledišta demona winbindd.
Sljedeće naredbe ilustriraju kako postaviti upit AD korisnicima i grupama pomoću wbinfo.
wbinfo -g
wbinfo -u
wbinfo -i your_domain_user
20. Osim uslužnog programa wbinfo također možete koristiti uslužni program naredbenog retka getent za postavljanje upita Active Directory bazi podataka iz biblioteka Name Service Switch koje su predstavljene u /etc/nsswitch.conf datoteku.
Provedite naredbu getent kroz filtar grep kako biste suzili rezultate koji se odnose samo na vašu korisničku ili grupnu bazu podataka AD područja.
getent passwd | grep TECMINT
getent group | grep TECMINT
Korak 3: Prijavite se u Linux s korisnikom aktivnog imenika
21. Za autentifikaciju na sustavu s korisnikom Samba4 AD samo upotrijebite parametar AD korisničko ime nakon su - naredba.
Prilikom prve prijave na konzoli će se prikazati poruka koja vas obavještava da je kreiran početni direktorij na /home/$DOMAIN/ sistemskoj stazi s grivom vašeg AD korisničkog imena.
Koristite naredbu id za prikaz dodatnih informacija o autentificiranom korisniku.
su - your_ad_user
id
exit
22. Za promjenu lozinke za autentificiranog AD korisnika upišite naredbu passwd u konzolu nakon što ste se uspješno prijavili u sustav.
su - your_ad_user
passwd
23. Prema zadanim postavkama, korisnicima Active Directoryja nisu dodijeljene root privilegije za obavljanje administrativnih zadataka na Linuxu.
Da biste AD korisniku dodijelili root ovlasti, morate dodati korisničko ime lokalnoj sudo grupi izdavanjem donje naredbe.
Obavezno stavite područje, kosu crtu i AD korisničko ime u jednostruke ASCII navodnike.
usermod -aG sudo 'DOMAIN\your_domain_user'
Da biste testirali ima li AD korisnik root povlastice na lokalnom sustavu, prijavite se i pokrenite naredbu, kao što je apt-get update, sa sudo dozvolama.
su - tecmint_user
sudo apt-get update
24. U slučaju da želite dodati root povlastice za sve račune grupe Active Directory, uredite datoteku /etc/sudoers pomoću naredbe visudo i dodajte redak ispod nakon retka root privilegija, kao što je prikazano na slici ispod:
%DOMAIN\\your_domain\ group ALL=(ALL:ALL) ALL
Obratite pozornost na sudoers sintaksu kako ne biste razbili stvari.
Datoteka Sudoers ne obrađuje baš dobro upotrebu ASCII navodnika, pa provjerite jeste li upotrijebili % da biste označili da govorite o grupi i upotrijebite obrnutu kosu crtu izbjegnite prvu kosu crtu nakon naziva domene i drugu obrnutu kosu crtu za izbjegavanje razmaka ako naziv vaše grupe sadrži razmake (većina AD ugrađenih grupa prema zadanim postavkama sadrži razmake). Također, pišite carstvo velikim slovima.
To je sve za sada! Upravljanje Samba4 AD infrastrukturom također se može postići s nekoliko alata iz Windows okruženja, kao što su ADUC, DNS Manager, GPM ili drugi, koji se može dobiti instaliranjem RSAT paketa s Microsoftove stranice za preuzimanje.
Za administriranje Samba4 AD DC putem uslužnih programa RSAT, apsolutno je potrebno pridružiti Windows sustav Samba4 Active Directory. Ovo će biti tema našeg sljedećeg vodiča, a do tada pratite TecMint.