Sådan styres Samba4 AD-infrastruktur fra Linux Command Line - Del 2

Denne vejledning dækker nogle grundlæggende daglige kommandoer, du skal bruge til at administrere Samba4 AD Domain Controller-infrastruktur, såsom tilføjelse, fjernelse, deaktivering eller notering af brugere og grupper.

Vi vil også se på, hvordan man styrer domænes sikkerhedspolitik, og hvordan man binder AD-brugere til lokal PAM-godkendelse, så AD-brugere kan udføre lokale logins på Linux Domain Controller.

1. Opret en AD-infrastruktur med Samba4 på Ubuntu 16.04 - del 1
2. Administrer Samba4 Active Directory-infrastruktur fra Windows10 via RSAT - del 3
3. Administrer DNS og gruppepolitik fra Samba4 AD Domain Controller fra Windows - del 4

Trin 1: Administrer Samba AD DC fra kommandolinjen

1. Samba AD DC kan styres via samba-tool kommandolinjeprogrammet, der tilbyder en god grænseflade til administration af dit domæne.

Ved hjælp af samba-værktøjsgrænsefladen kan du direkte administrere domæne brugere og grupper, domæne gruppepolitik, domæne websteder, DNS-tjenester, domæne replikering og andre kritiske domæne funktioner.

For at gennemgå hele samba-værktøjets funktionalitet skal du bare skrive kommandoen med rodrettigheder uden nogen indstilling eller parameter.

# samba-tool -h

2. Lad os nu begynde at bruge samba-værktøj til at administrere Samba4 Active Directory og administrere vores brugere.

Brug følgende kommando for at oprette en bruger på AD:

# samba-tool user add your_domain_user

For at tilføje en bruger med flere vigtige felter, der kræves af AD, skal du bruge følgende syntaks:

--------- review all options --------- 
# samba-tool user add -h  
# samba-tool user add your_domain_user --given-name=your_name --surname=your_username [email  --login-shell=/bin/bash

3. En liste over alle brugere af samba AD-domæner kan fås ved at udstede følgende kommando:

# samba-tool user list

4. For at slette en samba AD-domænebruger skal du bruge nedenstående syntaks:

# samba-tool user delete your_domain_user

5. Nulstil et samba-domæne-brugeradgangskode ved at udføre nedenstående kommando:

# samba-tool user setpassword your_domain_user

6. Brug nedenstående kommando for at deaktivere eller aktivere en samba AD-brugerkonto:

# samba-tool user disable your_domain_user
# samba-tool user enable your_domain_user

7. På samme måde kan samba-grupper styres med følgende kommandosyntaks:

--------- review all options --------- 
# samba-tool group add –h  
# samba-tool group add your_domain_group

8. Slet en samba-domænegruppe ved at udstede nedenstående kommando:

# samba-tool group delete your_domain_group

9. Kør følgende kommando for at få vist alle samba-domænegrupper:

# samba-tool group list

10. Brug kommandoen til at liste alle medlemmer af samba-domænet i en bestemt gruppe:

# samba-tool group listmembers "your_domain group"

11. Tilføjelse/fjernelse af et medlem fra en samba-domænegruppe kan udføres ved at udstede en af følgende kommandoer:

# samba-tool group addmembers your_domain_group your_domain_user
# samba-tool group remove members your_domain_group your_domain_user

12. Som tidligere nævnt kan samba-værktøjs kommandolinjegrænseflade også bruges til at styre din samba domæne politik og sikkerhed.

Brug nedenstående kommando til at gennemse dine indstillinger for adgangskode til samba-domæne:

# samba-tool domain passwordsettings show

13. For at ændre samba-domæne-adgangskodepolitik, såsom adgangskodekompleksitetsniveau, adgangskodealdring, længde, hvor mange gamle adgangskoder der skal huskes og andre sikkerhedsfunktioner, der kræves for en domænecontroller, skal du bruge nedenstående skærmbillede som en vejledning.

---------- List all command options ---------- 
# samba-tool domain passwordsettings -h 

Brug aldrig reglerne for adgangskodepolitik som illustreret ovenfor i et produktionsmiljø. Ovenstående indstillinger bruges kun til demonstrationsformål.

Trin 2: Samba lokal godkendelse ved hjælp af Active Directory-konti

14. Som standard kan AD-brugere ikke udføre lokale logins på Linux-systemet uden for Samba AD DC-miljøet.

For at logge på systemet med en Active Directory-konto skal du foretage følgende ændringer i dit Linux-systemmiljø og ændre Samba4 AD DC.

Åbn først samba-hovedkonfigurationsfil og tilføj nedenstående linjer, hvis de mangler, som illustreret på nedenstående skærmbillede.

$ sudo nano /etc/samba/smb.conf

Sørg for, at følgende udsagn vises i konfigurationsfilen:

winbind enum users = yes
winbind enum groups = yes

15. Når du har foretaget ændringerne, skal du bruge testparm-værktøjet til at sikre, at der ikke findes fejl i samba-konfigurationsfilen og genstarte samba-dæmoner ved at udstede nedenstående kommando.

$ testparm
$ sudo systemctl restart samba-ad-dc.service

16. Dernæst er vi nødt til at ændre lokale PAM-konfigurationsfiler for at Samba4 Active Directory-konti skal kunne godkende og åbne en session på det lokale system og oprette et hjemmekatalog for brugere ved første login.

Brug kommandoen pam-auth-update til at åbne PAM-konfigurationsprompten, og sørg for at aktivere alle PAM-profiler ved hjælp af [space] -tasten som vist på nedenstående skærmbillede.

Når du er færdig, skal du trykke på [Tab] -tasten for at flytte til Ok og anvende ændringer.

$ sudo pam-auth-update

17. Åbn nu /etc/nsswitch.conf-filen med en teksteditor, og tilføj winbind-sætning i slutningen af adgangskoden og gruppelinjer som vist på nedenstående skærmbillede.

$ sudo vi /etc/nsswitch.conf

18. Endelig rediger /etc/pam.d/common-password-fil, søg efter nedenstående linje som illustreret på nedenstående skærmbillede og fjern use_authtok-sætningen.

Denne indstilling sikrer, at Active Directory-brugere kan ændre deres adgangskode fra kommandolinjen, mens de er godkendt i Linux. Når denne indstilling er slået til, kan AD-brugere, der er godkendt lokalt på Linux, ikke ændre deres adgangskode fra konsollen.

password       [success=1 default=ignore]      pam_winbind.so try_first_pass

Fjern brug_authtok-indstillingen, hver gang PAM-opdateringer installeres og anvendes på PAM-moduler, eller hver gang du udfører pam-auth-update-kommandoen.

19. Samba4-binære filer leveres med en winbindd-dæmon indbygget og aktiveret som standard.

Af denne grund er du ikke længere forpligtet til at aktivere og køre winbind-dæmon separat leveret af winbind-pakke fra officielle Ubuntu-arkiver.

Hvis den gamle og forældede winbind-tjeneste startes på systemet, skal du sørge for at deaktivere den og stoppe tjenesten ved at udstede nedenstående kommandoer:

$ sudo systemctl disable winbind.service
$ sudo systemctl stop winbind.service

Selvom vi ikke længere har brug for at køre gammel winbind-dæmon, er vi stadig nødt til at installere Winbind-pakken fra arkiver for at installere og bruge wbinfo-værktøjet.

Wbinfo-værktøjet kan bruges til at forespørge Active Directory-brugere og grupper fra winbindd-dæmonsynspunkt.

Følgende kommandoer illustrerer, hvordan man forespørger AD-brugere og grupper ved hjælp af wbinfo.

$ wbinfo -g
$ wbinfo -u
$ wbinfo -i your_domain_user

20. Bortset fra wbinfo-værktøjet kan du også bruge getent kommandolinjeværktøj til at forespørge om Active Directory-database fra Name Service Switch-biblioteker, som er repræsenteret i /etc/nsswitch.conf-filen.

Rør getent-kommandoen gennem et grep-filter for at indsnævre resultaterne med hensyn til kun din AD-realm-bruger eller gruppedatabase.

# getent passwd | grep TECMINT
# getent group | grep TECMINT

Trin 3: Log ind i Linux med en Active Directory-bruger

21. For at autentificere på systemet med en Samba4 AD-bruger skal du blot bruge AD-brugernavnet efter parameteren su - .

Ved det første login vises en meddelelse på konsollen, der giver dig besked om, at der er oprettet en hjemmekatalog på /home/$ DOMAIN/ systemstien med manen i dit AD-brugernavn.

Brug id-kommandoen til at få vist ekstra information om den godkendte bruger.

# su - your_ad_user
$ id
$ exit

22. At ændre adgangskoden til en godkendt AD-brugertype passwd-kommando i konsollen, efter at du er logget ind på systemet.

$ su - your_ad_user
$ passwd

23. Som standard tildeles Active Directory-brugere ikke root-rettigheder for at udføre administrative opgaver på Linux.

For at give root-beføjelser til en AD-bruger skal du tilføje brugernavnet til den lokale sudo-gruppe ved at udstede nedenstående kommando.

Sørg for, at du vedlægger rige, skråstreg og AD-brugernavn med enkelte ASCII-citater.

# usermod -aG sudo 'DOMAIN\your_domain_user'

For at teste, om AD-bruger har rodrettigheder på det lokale system, skal du logge ind og køre en kommando, såsom apt-get-opdatering, med sudo-tilladelser.

# su - tecmint_user
$ sudo apt-get update

24. Hvis du vil tilføje rodprivilegier til alle konti i en Active Directory-gruppe, skal du redigere/etc/sudoers-filen ved hjælp af visudo-kommandoen og tilføje nedenstående linje efter rodprivilegielinjen, som illustreret på nedenstående skærmbillede:

%DOMAIN\\your_domain\  group ALL=(ALL:ALL) ALL

Vær opmærksom på sudoers syntaks, så du ikke bryder tingene ud.

Sudoers-filen håndterer ikke særlig godt brugen af ASCII-anførselstegn, så sørg for at bruge % til at angive, at du henviser til en gruppe, og brug en tilbageslag for at undslippe den første skråstreg efter domænet navn og et andet tilbageslag for at undslippe mellemrum, hvis dit gruppenavn indeholder mellemrum (de fleste af AD-indbyggede grupper indeholder som standard mellemrum). Skriv også riget med store bogstaver.

Det er alt for nu! Håndtering af Samba4 AD-infrastruktur kan også opnås med flere værktøjer fra Windows-miljøet, såsom ADUC, DNS Manager, GPM eller andet, som kan opnås ved at installere RSAT-pakken fra Microsofts downloadside.

For at administrere Samba4 AD DC gennem RSAT-værktøjer er det absolut nødvendigt at slutte Windows-systemet til Samba4 Active Directory. Dette vil være genstand for vores næste tutorial, indtil da hold dig opdateret med TecMint.