Kako upravljati infrastrukturo Samba4 AD iz ukazne vrstice Linux - 2. del

Ta vadnica bo zajela nekaj osnovnih dnevnih ukazov, ki jih morate uporabiti za upravljanje infrastrukture Samba4 AD Domain Controller, na primer dodajanje, odstranjevanje, onemogočanje ali naštevanje uporabnikov in skupin.

Ogledali si bomo tudi, kako upravljati varnostno politiko domene in kako uporabnike AD vezati na lokalno preverjanje pristnosti PAM, da lahko uporabniki AD izvajajo lokalne prijave v Linux Domain Controller

1. Ustvarite AD infrastrukturo s Samba4 v Ubuntu 16.04 - 1. del
2. Upravljajte infrastrukturo Samba4 Active Directory iz sistema Windows10 prek RSAT - 3. del
3. Upravljajte DNS krmilnika domene Samba4 AD in pravilnik skupine iz sistema Windows - 4. del

1. korak: Upravljajte Samba AD DC iz ukazne vrstice

1. Sambo AD DC lahko upravljate s pomočjo pripomočka za ukazno vrstico samba-tool, ki ponuja odličen vmesnik za upravljanje vaše domene.

S pomočjo vmesnika orodja samba lahko neposredno upravljate uporabnike in skupine domen, pravilnike skupin domen, spletna mesta domen, storitve DNS, replikacijo domen in druge kritične funkcije domene.

Če želite pregledati celotno funkcionalnost orodja samba, vnesite ukaz s korenskimi pravicami brez možnosti ali parametra.

# samba-tool -h

2. Zdaj začnimo uporabljati pripomoček samba-tool za upravljanje Samba4 Active Directory in upravljanje naših uporabnikov.

Če želite ustvariti uporabnika na AD, uporabite naslednji ukaz:

# samba-tool user add your_domain_user

Če želite dodati uporabnika z več pomembnimi polji, ki jih zahteva AD, uporabite naslednjo sintakso:

--------- review all options --------- 
# samba-tool user add -h  
# samba-tool user add your_domain_user --given-name=your_name --surname=your_username [email  --login-shell=/bin/bash

3. Seznam vseh uporabnikov domene samba AD lahko dobite z naslednjim ukazom:

# samba-tool user list

4. Če želite uporabnika domene samba AD izbrisati, uporabite spodnjo sintakso:

# samba-tool user delete your_domain_user

5. Ponastavite uporabniško geslo domene samba z izvajanjem spodnjega ukaza:

# samba-tool user setpassword your_domain_user

6. Če želite onemogočiti ali omogočiti uporabniški račun sambe AD, uporabite spodnji ukaz:

# samba-tool user disable your_domain_user
# samba-tool user enable your_domain_user

7. Podobno lahko skupine sambe upravljate z naslednjo sintakso ukaza:

--------- review all options --------- 
# samba-tool group add –h  
# samba-tool group add your_domain_group

8. Izbrišite skupino domen samba z izdajo spodnjega ukaza:

# samba-tool group delete your_domain_group

9. Za prikaz vseh skupin domen samba zaženite naslednji ukaz:

# samba-tool group list

10. Za seznam vseh članov domene samba v določeni skupini uporabite ukaz:

# samba-tool group listmembers "your_domain group"

11. Dodajanje/odstranjevanje člana iz skupine domen samba lahko izvedete z enim od naslednjih ukazov:

# samba-tool group addmembers your_domain_group your_domain_user
# samba-tool group remove members your_domain_group your_domain_user

12. Kot smo že omenili, lahko vmesnik ukazne vrstice samba-tool uporabite tudi za upravljanje politike in varnosti domene samba.

Za pregled nastavitev gesla domene samba uporabite spodnji ukaz:

# samba-tool domain passwordsettings show

13. Če želite spremeniti pravilnik o geslih za domeno samba, kot so stopnja zapletenosti gesla, staranje gesla, dolžina, koliko starih gesel si morate zapomniti in druge varnostne funkcije, potrebne za krmilnik domene, uporabite spodnji posnetek zaslona kot vodilo.

---------- List all command options ---------- 
# samba-tool domain passwordsettings -h 

V produkcijskem okolju nikoli ne uporabljajte pravilnikov pravil gesla, kot je prikazano zgoraj. Zgornje nastavitve se uporabljajo samo za predstavitvene namene.

2. korak: Samba Local Authentication z računi Active Directory

14. Uporabniki AD privzeto ne morejo izvajati lokalnih prijav v sistemu Linux zunaj okolja Samba AD DC.

Če se želite prijaviti v sistem z računom Active Directory, morate v sistemskem okolju Linux narediti naslednje spremembe in spremeniti Samba4 AD DC.

Najprej odprite glavno konfiguracijsko datoteko sambe in dodajte spodnje vrstice, če manjkajo, kot je prikazano na spodnjem posnetku zaslona.

$ sudo nano /etc/samba/smb.conf

Prepričajte se, da se v konfiguracijski datoteki pojavijo naslednji stavki:

winbind enum users = yes
winbind enum groups = yes

15. Ko ste izvedli spremembe, uporabite pripomoček testparm in se prepričajte, da v konfiguracijski datoteki sambe ne najdete nobenih napak, in znova zaženite demone samba z izdajo spodnjega ukaza.

$ testparm
$ sudo systemctl restart samba-ad-dc.service

16. Nato moramo spremeniti lokalne konfiguracijske datoteke PAM, da bodo računi Samba4 Active Directory lahko preverjali pristnost in odprli sejo v lokalnem sistemu ter ustvarili domači imenik za uporabnike ob prvi prijavi.

Z ukazom pam-auth-update odprite poziv za konfiguracijo PAM in zagotovite, da omogočite vse profile PAM s tipko [presledek] , kot je prikazano na spodnjem posnetku zaslona.

Ko končate, pritisnite tipko [Tab] , da se premaknete na Ok in uveljavite spremembe.

$ sudo pam-auth-update

17. Zdaj odprite datoteko /etc/nsswitch.conf z urejevalnikom besedil in dodajte izjavo winbind na koncu gesla in skupinskih vrstic, kot je prikazano na spodnjem posnetku zaslona.

$ sudo vi /etc/nsswitch.conf

18. Na koncu uredite datoteko /etc/pam.d/common-password, poiščite spodnjo vrstico, kot je prikazano na spodnjem posnetku zaslona, in odstranite izjavo use_authtok.

Ta nastavitev zagotavlja, da lahko uporabniki Active Directory spremenijo geslo iz ukazne vrstice, ko je preverjena pristnost v Linuxu. Če je ta nastavitev vklopljena, uporabniki AD, overjeni v sistemu Linux, ne morejo spremeniti gesla iz konzole.

password       [success=1 default=ignore]      pam_winbind.so try_first_pass

Odstranite možnost use_authtok vsakič, ko se posodobitve PAM namestijo in uporabijo za module PAM ali vsakič, ko zaženete ukaz pam-auth-update.

19. Binarni programi Samba4 imajo vgrajen demon winbindd in privzeto omogočeni.

Iz tega razloga vam ni več treba ločeno omogočiti in zagnati demona winbind, ki ga ponuja paket winbind, iz uradnih repozitorijev Ubuntu.

Če se v sistemu zažene stara in zastarela storitev winbind, jo onemogočite in ustavite s izdajo spodnjih ukazov:

$ sudo systemctl disable winbind.service
$ sudo systemctl stop winbind.service

Čeprav nam starega demona winbind ni več treba zagnati, moramo še vedno namestiti paket Winbind iz repozitorijev, da namestimo in uporabljamo orodje wbinfo.

Pripomoček Wbinfo se lahko uporablja za poizvedovanje po uporabnikih in skupinah Active Directory s stališča demona winbindd.

Naslednji ukazi ponazarjajo, kako poizvedovati po uporabnikih in skupinah AD, ki uporabljajo wbinfo.

$ wbinfo -g
$ wbinfo -u
$ wbinfo -i your_domain_user

20. Poleg pripomočka wbinfo lahko tudi pripomoček za ukazno vrstico Getent poizvedujete po zbirki podatkov Active Directory iz knjižnic Name Service Switch, ki so predstavljene v datoteki /etc/nsswitch.conf.

Ukaz getent napeljite skozi grep filter, da zožite rezultate samo glede baze podatkov uporabnikov ali skupin AD področja.

# getent passwd | grep TECMINT
# getent group | grep TECMINT

3. korak: Prijavite se v Linux z uporabnikom Active Directory

21. Če želite v sistemu preveriti pristnost z uporabnikom Samba4 AD, po ukazu su - uporabite parameter uporabniškega imena AD.

Ob prvi prijavi se na konzoli prikaže sporočilo, ki vas obvesti, da je bil na sistemski poti /home/$DOMAIN/ ustvarjen domači imenik z grivo vašega uporabniškega imena za AD.

Z ukazom id prikažite dodatne informacije o overjenem uporabniku.

# su - your_ad_user
$ id
$ exit

22. Če želite po uspešni prijavi v sistem spremeniti geslo za overjen ukaz passwd uporabniškega tipa AD v konzoli.

$ su - your_ad_user
$ passwd

23. Uporabniki Active Directory privzeto nimajo korenskih pravic za izvajanje skrbniških nalog v Linuxu.

Če želite uporabniku AD dodeliti korenska pooblastila, morate dodati uporabniško ime v lokalno skupino sudo z izdajo spodnjega ukaza.

Poskrbite, da boste s posameznimi narekovaji ASCII zaprli področje, poševnico in uporabniško ime za AD.

# usermod -aG sudo 'DOMAIN\your_domain_user'

Če želite preizkusiti, ali ima uporabnik AD korenske privilegije v lokalnem sistemu, se prijavite in zaženite ukaz, na primer apt-get update, z dovoljenji sudo.

# su - tecmint_user
$ sudo apt-get update

24. Če želite dodati korenske privilegije za vse račune skupine Active Directory, z ukazom visudo uredite datoteko/etc/sudoers in dodajte spodnjo vrstico za vrstico korenskih privilegijev, kot je prikazano na spodnjem posnetku zaslona:

%DOMAIN\\your_domain\  group ALL=(ALL:ALL) ALL

Bodite pozorni na sintakso sudoers, da ne boste razbili stvari.

Datoteka Sudoers ne obravnava dobro narekovajev ASCII, zato uporabite % , da označite, da se sklicujete na skupino, in uporabite poševnico nazaj, da ubežete prvi poševnici za domeno ime in drugo poševnico nazaj, če želite pobegniti s presledki, če ime skupine vsebuje presledke (večina vgrajenih skupin AD vsebuje presledke). Prav tako zapišite področje z velikimi črkami.

To je vse za zdaj! Upravljanje infrastrukture Samba4 AD je mogoče doseči tudi z več orodji iz okolja Windows, kot so ADUC, DNS Manager, GPM ali drugo, ki jih lahko dobite z namestitvijo paketa RSAT z Microsoftove strani za prenos.

Za upravljanje Samba4 AD DC prek pripomočkov RSAT je nujno treba sistem Windows pridružiti Samba4 Active Directory. To bo predmet naše naslednje vadnice, do takrat pa spremljajte TecMint.