Kako upravljati Samba4 AD infrastrukturom iz Linux komandne linije - 2. dio


Ovaj vodič će pokriti neke osnovne dnevne komande koje trebate koristiti za upravljanje infrastrukturom Samba4 AD Domain Controller, kao što je dodavanje, uklanjanje, onemogućavanje ili listanje korisnika i grupa.

Također ćemo pogledati kako upravljati sigurnosnom politikom domene i kako povezati AD korisnike na lokalnu PAM autentifikaciju kako bi AD korisnici mogli obavljati lokalne prijave na Linux Domain Controller.

Zahtjevi

  1. Kreirajte AD infrastrukturu sa Sambom4 na Ubuntu 16.04 – 1. dio
  2. Upravljajte Samba4 Active Directory infrastrukturom iz Windows10 preko RSAT-a – 3. dio
  3. Upravljajte DNS kontrolerom domene Samba4 AD i pravilima grupe iz Windowsa – 4. dio

Korak 1: Upravljajte Samba AD DC iz komandne linije

1. Samba AD DC se može upravljati putem samba-tool uslužnog programa komandne linije koji nudi odličan interfejs za administraciju vaše domene.

Uz pomoć sučelja samba alata možete direktno upravljati korisnicima i grupama domena, pravilima grupe domena, web lokacijama domena, DNS uslugama, replikacijom domena i drugim kritičnim funkcijama domena.

Za pregled cjelokupne funkcionalnosti samba alata samo upišite naredbu sa root privilegijama bez ikakvih opcija ili parametara.

samba-tool -h

2. Sada, počnimo koristiti samba-tool uslužni program za administraciju Samba4 Active Directory i upravljanje našim korisnicima.

Da biste kreirali korisnika na AD koristite sljedeću naredbu:

samba-tool user add your_domain_user

Da biste dodali korisnika sa nekoliko važnih polja potrebnih za AD, koristite sljedeću sintaksu:

--------- review all options --------- 
samba-tool user add -h  
samba-tool user add your_domain_user --given-name=your_name --surname=your_username [email  --login-shell=/bin/bash

3. Spisak svih korisnika samba AD domene može se dobiti izdavanjem sljedeće naredbe:

samba-tool user list

4. Da izbrišete korisnika samba AD domene koristite donju sintaksu:

samba-tool user delete your_domain_user

5. Poništite korisničku lozinku samba domene izvršavanjem naredbe ispod:

samba-tool user setpassword your_domain_user

6. Da biste onemogućili ili omogućili samba AD korisnički račun, koristite naredbu ispod:

samba-tool user disable your_domain_user
samba-tool user enable your_domain_user

7. Isto tako, samba grupama se može upravljati sa sljedećom sintaksom komandi:

--------- review all options --------- 
samba-tool group add –h  
samba-tool group add your_domain_group

8. Izbrišite grupu samba domena izdavanjem donje naredbe:

samba-tool group delete your_domain_group

9. Za prikaz svih samba grupa domena pokrenite sljedeću naredbu:

samba-tool group list

10. Za popis svih članova samba domene u određenoj grupi koristite naredbu:

samba-tool group listmembers "your_domain group"

11. Dodavanje/uklanjanje člana iz grupe samba domena može se izvršiti izdavanjem jedne od sljedećih naredbi:

samba-tool group addmembers your_domain_group your_domain_user
samba-tool group remove members your_domain_group your_domain_user

12. Kao što je ranije pomenuto, interfejs komandne linije samba alata se takođe može koristiti za upravljanje politikom i bezbednošću vaše samba domene.

Za pregled postavki lozinke za samba domen koristite naredbu ispod:

samba-tool domain passwordsettings show

13. Da biste izmijenili politiku lozinke za samba domenu, kao što su nivo složenosti lozinke, starenje lozinke, dužina, koliko starih lozinki treba zapamtiti i druge sigurnosne funkcije potrebne za kontroler domene, koristite snimak ekrana ispod kao vodič.

---------- List all command options ---------- 
samba-tool domain passwordsettings -h 

Nikada nemojte koristiti pravila politike lozinki kao što je gore prikazano u proizvodnom okruženju. Gore navedene postavke se koriste samo u svrhu demonstracije.

Korak 2: Samba lokalna autentikacija pomoću naloga Active Directory

14. Prema zadanim postavkama, AD korisnici ne mogu obavljati lokalne prijave na Linux sistem izvan Samba AD DC okruženja.

Da biste se prijavili na sistem sa Active Directory nalogom, potrebno je da izvršite sledeće promene na vašem Linux sistemskom okruženju i modifikujete Samba4 AD DC.

Prvo otvorite glavnu konfiguracionu datoteku sambe i dodajte redove ispod, ako nedostaju, kao što je ilustrovano na snimku ekrana ispod.

sudo nano /etc/samba/smb.conf

Uvjerite se da se sljedeće izjave pojavljuju u konfiguracijskoj datoteci:

winbind enum users = yes
winbind enum groups = yes

15. Nakon što izvršite promjene, koristite testparm uslužni program kako biste bili sigurni da nisu pronađene greške na samba konfiguracijskoj datoteci i ponovo pokrenite samba demone izdavanjem naredbe ispod.

testparm
sudo systemctl restart samba-ad-dc.service

16. Zatim moramo modificirati lokalne PAM konfiguracijske datoteke kako bi Samba4 Active Directory računi mogli autentifikovati i otvoriti sesiju na lokalnom sistemu i kreirati dom direktorij za korisnike pri prvoj prijavi.

Koristite naredbu pam-auth-update da otvorite prompt za konfiguraciju PAM-a i provjerite jeste li omogućili sve PAM profile pomoću tipke [razmak] kao što je prikazano na snimku ekrana ispod.

Kada završite, pritisnite taster [Tab] da pređete na OK i primenite promene.

sudo pam-auth-update

17. Sada otvorite datoteku /etc/nsswitch.conf u uređivaču teksta i dodajte naredbu winbind na kraju lozinke i grupnih redova kao što je prikazano na slici ispod.

sudo vi /etc/nsswitch.conf

18. Konačno, uredite datoteku /etc/pam.d/common-password, potražite donju liniju kao što je ilustrovano na snimku ekrana ispod i uklonite use_authtok< izjava.

Ova postavka osigurava da korisnici Active Directory-a mogu promijeniti svoju lozinku iz komandne linije dok se autentifikuju u Linuxu. Sa ovom postavkom uključenom, AD korisnici koji su lokalno autentificirani na Linuxu ne mogu promijeniti svoju lozinku s konzole.

password       [success=1 default=ignore]      pam_winbind.so try_first_pass

Uklonite opciju use_authtok svaki put kada se PAM ažuriranja instaliraju i primjenjuju na PAM module ili svaki put kada izvršite naredbu pam-auth-update.

19. Samba4 binarni fajlovi dolaze sa ugrađenim demonom winbindd koji je podrazumevano omogućen.

Iz tog razloga više nije potrebno da zasebno omogućavate i pokrećete winbind demon koji obezbjeđuje winbind paket iz zvaničnih Ubuntu repozitorija.

U slučaju da je stara i zastarjela usluga winbind pokrenuta na sistemu, obavezno je onemogućite i zaustavite uslugu izdavanjem sljedećih naredbi:

sudo systemctl disable winbind.service
sudo systemctl stop winbind.service

Iako više ne trebamo pokretati stari winbind demon, još uvijek moramo instalirati Winbind paket iz spremišta da bismo instalirali i koristili wbinfo alat.

Uslužni program Wbinfo se može koristiti za upite korisnika i grupa Active Directory sa winbindd tačke gledišta demona.

Sljedeće naredbe ilustruju kako postaviti upit AD korisnika i grupa koristeći wbinfo.

wbinfo -g
wbinfo -u
wbinfo -i your_domain_user

20. Osim wbinfo uslužnog programa, možete koristiti i getent uslužni program komandne linije za upit Active Directory baze podataka iz biblioteka Name Service Switch koje su predstavljene u /etc/nsswitch.conf fajl.

Provedite naredbu getent kroz filter grep kako biste suzili rezultate koji se odnose samo na bazu podataka korisnika ili grupe AD domena.

getent passwd | grep TECMINT
getent group | grep TECMINT

Korak 3: Prijavite se u Linux sa Active Directory korisnikom

21. Da biste izvršili autentifikaciju na sistemu sa Samba4 AD korisnikom, samo koristite parametar AD korisničko ime nakon su - kod> komanda.

Prilikom prvog prijavljivanja na konzolu će se prikazati poruka koja vas obavještava da je kreiran kućni direktorij na /home/$DOMAIN/ sistemskoj putanji sa mane vašeg AD korisničkog imena.

Koristite naredbu id za prikaz dodatnih informacija o autentificiranom korisniku.

su - your_ad_user
id
exit

22. Da biste promijenili lozinku za autentificiranog AD korisnika, unesite passwd komandu u konzolu nakon što ste se uspješno prijavili na sistem.

su - your_ad_user
passwd

23. Prema zadanim postavkama, Active Directory korisnici nemaju privilegije root za obavljanje administrativnih zadataka na Linuxu.

Da biste dodijelili root ovlaštenja AD korisniku, morate dodati korisničko ime lokalnoj sudo grupi izdavanjem naredbe ispod.

Obavezno stavite područje, kosa crta i AD korisničko ime sa jednim ASCII navodnicima.

usermod -aG sudo 'DOMAIN\your_domain_user'

Da biste testirali da li AD korisnik ima root privilegije na lokalnom sistemu, prijavite se i pokrenite komandu, kao što je apt-get update, sa sudo dozvolama.

su - tecmint_user
sudo apt-get update

24. U slučaju da želite dodati root privilegije za sve račune grupe Active Directory, uredite datoteku /etc/sudoers koristeći naredbu visudo i dodajte donji red nakon linije root privilegija, kao što je prikazano na slici ispod:

%DOMAIN\\your_domain\  group ALL=(ALL:ALL) ALL

Obratite pažnju na sintaksu sudoers kako ne biste razbili stvari.

Sudoers fajl ne obrađuje dobro korištenje ASCII navodnika, stoga obavezno koristite % da označite da se pozivate na grupu i koristite obrnutu kosu crtu da izbjegnite prvu kosu crtu nakon imena domene i drugu obrnutu kosu crtu da biste izbjegli razmake ako ime vaše grupe sadrži razmake (većina grupa ugrađenih u AD po defaultu sadrži razmake). Također, napišite područje velikim slovima.

To je sve za sada! Upravljanje Samba4 AD infrastrukturom se također može postići s nekoliko alata iz Windows okruženja, kao što su ADUC, DNS Manager, GPM > ili drugi, koji se može dobiti instaliranjem RSAT paketa sa Microsoft stranice za preuzimanje.

Za administriranje Samba4 AD DC preko RSAT uslužnih programa, apsolutno je neophodno pridružiti Windows sistem u Samba4 Active Directory. Ovo će biti tema našeg sljedećeg tutorijala, a do tada pratite TecMint.