Hvernig á að stjórna Samba4 AD innviðum frá Linux stjórnlínu - Part 2


Þessi kennsla mun fjalla um nokkrar daglegar grunnskipanir sem þú þarft að nota til að stjórna innviðum Samba4 AD Domain Controller, svo sem að bæta við, fjarlægja, slökkva á eða skrá notendur og hópa.

Við munum einnig skoða hvernig á að stjórna öryggisstefnu léna og hvernig á að binda AD notendur við staðbundna PAM auðkenningu til að AD notendur geti framkvæmt staðbundna innskráningu á Linux lénsstýringu.

  1. Búðu til AD innviði með Samba4 á Ubuntu 16.04 – Part 1
  2. Hafa umsjón með Samba4 Active Directory innviðum frá Windows10 í gegnum RSAT – Part 3
  3. Hafa umsjón með Samba4 AD Domain Controller DNS og Group Policy frá Windows – Part 4

Skref 1: Stjórnaðu Samba AD DC frá stjórnlínunni

1. Samba AD DC er hægt að stjórna í gegnum samba-tool skipanalínuforritið sem býður upp á frábært viðmót til að stjórna léninu þínu.

Með hjálp samba-tólviðmótsins geturðu beint stjórnað lénsnotendum og hópum, hópstefnu léna, lénasíðum, DNS þjónustu, afritun léna og öðrum mikilvægum lénsaðgerðum.

Til að skoða alla virkni samba-tólsins skaltu bara slá inn skipunina með rótarréttindum án nokkurs valkosts eða færibreytu.

# samba-tool -h

2. Nú skulum við byrja að nota samba-tól til að stjórna Samba4 Active Directory og stjórna notendum okkar.

Notaðu eftirfarandi skipun til að búa til notanda á AD:

# samba-tool user add your_domain_user

Til að bæta við notanda með nokkrum mikilvægum reitum sem AD krefst skaltu nota eftirfarandi setningafræði:

--------- review all options --------- 
# samba-tool user add -h  
# samba-tool user add your_domain_user --given-name=your_name --surname=your_username [email  --login-shell=/bin/bash

3. Hægt er að fá lista yfir alla samba AD lénsnotendur með því að gefa út eftirfarandi skipun:

# samba-tool user list

4. Til að eyða samba AD lénsnotanda notaðu eftirfarandi setningafræði:

# samba-tool user delete your_domain_user

5. Endurstilltu samba lén notanda lykilorð með því að framkvæma eftirfarandi skipun:

# samba-tool user setpassword your_domain_user

6. Til að slökkva á eða virkja samba AD notandareikning skaltu nota eftirfarandi skipun:

# samba-tool user disable your_domain_user
# samba-tool user enable your_domain_user

7. Sömuleiðis er hægt að stjórna sambahópum með eftirfarandi skipanasetningafræði:

--------- review all options --------- 
# samba-tool group add –h  
# samba-tool group add your_domain_group

8. Eyddu samba lénshópi með því að gefa út skipunina hér að neðan:

# samba-tool group delete your_domain_group

9. Til að sýna alla samba lénshópa skaltu keyra eftirfarandi skipun:

# samba-tool group list

10. Til að skrá alla samba lénsmeðlimi í tilteknum hópi notaðu skipunina:

# samba-tool group listmembers "your_domain group"

11. Hægt er að bæta við/fjarlægja meðlim úr samba lénshópi með því að gefa út eina af eftirfarandi skipunum:

# samba-tool group addmembers your_domain_group your_domain_user
# samba-tool group remove members your_domain_group your_domain_user

12. Eins og áður hefur komið fram er einnig hægt að nota samba-tool skipanalínuviðmót til að stjórna samba lénsstefnu og öryggi.

Til að endurskoða samba léns lykilorðsstillingarnar þínar skaltu nota eftirfarandi skipun:

# samba-tool domain passwordsettings show

13. Til að breyta lykilorðastefnu samba léns, svo sem flókið lykilorð, öldrun lykilorðs, lengd, hversu mörg gömul lykilorð á að muna og aðra öryggiseiginleika sem þarf fyrir lénsstýringu, notaðu skjámyndina hér að neðan sem leiðbeiningar.

---------- List all command options ---------- 
# samba-tool domain passwordsettings -h 

Notaðu aldrei reglur um lykilorð eins og sýnt er hér að ofan á framleiðsluumhverfi. Ofangreindar stillingar eru aðeins notaðar til sýnikennslu.

Skref 2: Samba staðbundin auðkenning með því að nota Active Directory reikninga

14. Sjálfgefið er að AD notendur geta ekki framkvæmt staðbundna innskráningu á Linux kerfinu utan Samba AD DC umhverfisins.

Til þess að skrá þig inn á kerfið með Active Directory reikningi þarftu að gera eftirfarandi breytingar á Linux kerfisumhverfinu þínu og breyta Samba4 AD DC.

Fyrst skaltu opna samba aðalstillingarskrána og bæta við línunum hér að neðan, ef það vantar, eins og sýnt er á skjámyndinni hér að neðan.

$ sudo nano /etc/samba/smb.conf

Gakktu úr skugga um að eftirfarandi fullyrðingar birtist á stillingarskránni:

winbind enum users = yes
winbind enum groups = yes

15. Eftir að þú hefur gert breytingarnar, notaðu testparm tólið til að ganga úr skugga um að engar villur finnast á samba stillingarskránni og endurræstu samba púkana með því að gefa út skipunina hér að neðan.

$ testparm
$ sudo systemctl restart samba-ad-dc.service

16. Næst þurfum við að breyta staðbundnum PAM stillingarskrám til þess að Samba4 Active Directory reikningar geti auðkennt og opnað lotu á staðbundnu kerfi og búið til heimaskrá fyrir notendur við fyrstu innskráningu.

Notaðu pam-auth-update skipunina til að opna PAM stillingarkvaðningu og vertu viss um að þú kveikir á öllum PAM sniðum með því að nota [space] takkann eins og sýnt er á skjámyndinni hér að neðan.

Þegar því er lokið ýttu á [Tab] takkann til að fara í Í lagi og beita breytingum.

$ sudo pam-auth-update

17. Opnaðu nú /etc/nsswitch.conf skrána með textaritli og bættu við winbind yfirlýsingu í lok lykilorðsins og hóplínu eins og sýnt er á skjámyndinni hér að neðan.

$ sudo vi /etc/nsswitch.conf

18. Að lokum, breyttu /etc/pam.d/common-password skránni, leitaðu að línunni fyrir neðan eins og sýnt er á skjámyndinni hér að neðan og fjarlægðu use_authtok setninguna.

Þessi stilling tryggir að Active Directory notendur geta breytt lykilorði sínu frá skipanalínunni meðan þeir eru auðkenndir í Linux. Þegar kveikt er á þessari stillingu geta AD notendur sem eru auðkenndir staðbundið á Linux ekki breytt lykilorðinu sínu frá stjórnborðinu.

password       [success=1 default=ignore]      pam_winbind.so try_first_pass

Fjarlægðu use_authtok valmöguleikann í hvert sinn sem PAM uppfærslur eru settar upp og notaðar á PAM einingar eða í hvert skipti sem þú framkvæmir pam-auth-update skipunina.

19. Samba4 binaries koma með winbindd púkinn innbyggðan og sjálfgefið virkt.

Af þessum sökum þarftu ekki lengur að virkja og keyra winbind púkinn sérstaklega sem winbind pakki frá opinberum Ubuntu geymslum.

Ef gamla og úrelta winbind þjónustan er ræst á kerfinu, vertu viss um að slökkva á henni og stöðva þjónustuna með því að gefa út skipanir hér að neðan:

$ sudo systemctl disable winbind.service
$ sudo systemctl stop winbind.service

Þó við þurfum ekki lengur að keyra gamla winbind púkinn, þurfum við samt að setja upp Winbind pakkann frá geymslum til að setja upp og nota wbinfo tólið.

Hægt er að nota Wbinfo tólið til að spyrja Active Directory notendur og hópa frá winbindd púknum sjónarhorni.

Eftirfarandi skipanir sýna hvernig á að spyrja AD notendur og hópa með wbinfo.

$ wbinfo -g
$ wbinfo -u
$ wbinfo -i your_domain_user

20. Fyrir utan wbinfo tólið geturðu líka notað gegent skipanalínu tólið til að spyrjast fyrir um Active Directory gagnagrunn frá Name Service Switch bókasöfnum sem eru táknuð í /etc/nsswitch.conf skránni.

Pípaðu getent skipun í gegnum grep síu til að þrengja niðurstöðurnar varðandi aðeins AD ríki notandann þinn eða hópgagnagrunn.

# getent passwd | grep TECMINT
# getent group | grep TECMINT

Skref 3: Skráðu þig inn í Linux með Active Directory notanda

21. Til að auðkenna á kerfinu með Samba4 AD notanda, notaðu bara AD notandanafn færibreytuna á eftir su - skipuninni.

Við fyrstu innskráningu munu skilaboð birtast á stjórnborðinu sem lætur þig vita að heimaskrá hafi verið búin til á /home/$DOMAIN/ kerfisslóð með slóð AD notendanafns þíns.

Notaðu id skipun til að birta auka upplýsingar um auðkennda notandann.

# su - your_ad_user
$ id
$ exit

22. Til að breyta lykilorðinu fyrir staðfestan AD notanda skaltu slá inn passwd skipun í stjórnborðinu eftir að þú hefur skráð þig inn í kerfið.

$ su - your_ad_user
$ passwd

23. Sjálfgefið er að Active Directory notendum er ekki veitt rótarréttindi til að framkvæma stjórnunarverkefni á Linux.

Til að veita AD notanda rótarvald verður þú að bæta notandanafninu við staðbundna sudo hópinn með því að gefa út skipunina hér að neðan.

Gakktu úr skugga um að þú fylgir ríki, skástrik og AD notendanafn með einni ASCII tilvitnunum.

# usermod -aG sudo 'DOMAIN\your_domain_user'

Til að prófa hvort AD notandi hafi rótarréttindi á staðbundnu kerfinu skaltu skrá þig inn og keyra skipun, svo sem apt-get update, með sudo heimildum.

# su - tecmint_user
$ sudo apt-get update

24. Ef þú vilt bæta við rótarréttindum fyrir alla reikninga Active Directory hóps, breyttu /etc/sudoers skránni með visudo skipuninni og bættu línunni fyrir neðan á eftir rótarréttindalínunni, eins og sýnt er á skjámyndinni hér að neðan:

%DOMAIN\\your_domain\  group ALL=(ALL:ALL) ALL

Gefðu gaum að sudoers setningafræði svo þú brjótir ekki hluti út.

Sudoers skrá tekur ekki mjög vel á notkun ASCII gæsalappa, svo vertu viss um að þú notir % til að gefa til kynna að þú sért að vísa til hóps og notaðu bakskást til að komast undan fyrsta skástrikinu á eftir léninu nafn og annað bakskástrik til að flýja bil ef hópnafnið þitt inniheldur bil (flestir AD innbyggðir hópar innihalda bil sjálfgefið). Skrifaðu líka ríkið með hástöfum.

Það er allt í bili! Stjórnun Samba4 AD innviða er einnig hægt að ná með nokkrum verkfærum úr Windows umhverfi, svo sem ADUC, DNS Manager, GPM eða öðru, sem hægt er að fá með því að setja upp RSAT pakka frá Microsoft niðurhalssíðu.

Til að stjórna Samba4 AD DC í gegnum RSAT tól, er algjörlega nauðsynlegt að tengja Windows kerfið inn í Samba4 Active Directory. Þetta verður viðfangsefni næsta námskeiðs okkar, þangað til fylgstu með TecMint.