Zoeken op website

Hoe Samba4 AD-infrastructuur te beheren vanaf de Linux-opdrachtregel - Deel 2

In deze zelfstudie worden enkele dagelijkse basisopdrachten behandeld die u moet gebruiken om de infrastructuur van de Samba4 AD Domain Controller te beheren, zoals het toevoegen, verwijderen, uitschakelen of weergeven van gebruikers en groepen.

We zullen ook bekijken hoe u het domeinbeveiligingsbeleid kunt beheren en hoe u AD-gebruikers kunt binden aan lokale PAM-authenticatie, zodat AD-gebruikers lokale aanmeldingen kunnen uitvoeren op de Linux Domain Controller.

Vereisten

  1. Creëer een AD-infrastructuur met Samba4 op Ubuntu 16.04 – Deel 1
  2. Beheer Samba4 Active Directory-infrastructuur vanuit Windows10 via RSAT – Deel 3
  3. Beheer Samba4 AD Domain Controller DNS en groepsbeleid vanuit Windows – Deel 4

Stap 1: Beheer Samba AD DC vanaf de opdrachtregel

1. Samba AD DC kan worden beheerd via het opdrachtregelhulpprogramma samba-tool, dat een geweldige interface biedt voor het beheren van uw domein.

Met behulp van de samba-toolinterface kunt u domeingebruikers en -groepen, domeingroepsbeleid, domeinsites, DNS-services, domeinreplicatie en andere kritieke domeinfuncties direct beheren.

Om de volledige functionaliteit van de samba-tool te bekijken, typt u gewoon de opdracht met root-rechten zonder enige optie of parameter.

samba-tool -h

2. Laten we nu het hulpprogramma samba-tool gaan gebruiken om Samba4 Active Directory te beheren en onze gebruikers te beheren.

Gebruik de volgende opdracht om een gebruiker in AD aan te maken:

samba-tool user add your_domain_user

Gebruik de volgende syntaxis om een gebruiker toe te voegen met verschillende belangrijke velden die vereist zijn door AD:

--------- review all options --------- 
samba-tool user add -h  
samba-tool user add your_domain_user --given-name=your_name --surname=your_username [email  --login-shell=/bin/bash

3. Een lijst van alle samba AD-domeingebruikers kan worden verkregen door de volgende opdracht te geven:

samba-tool user list

4. Om een samba AD-domeingebruiker te verwijderen, gebruikt u de onderstaande syntaxis:

samba-tool user delete your_domain_user

5. Reset een gebruikerswachtwoord voor een samba-domein door de onderstaande opdracht uit te voeren:

samba-tool user setpassword your_domain_user

6. Om een samba AD-gebruikersaccount in of uit te schakelen, gebruikt u de onderstaande opdracht:

samba-tool user disable your_domain_user
samba-tool user enable your_domain_user

7. Op dezelfde manier kunnen sambagroepen worden beheerd met de volgende opdrachtsyntaxis:

--------- review all options --------- 
samba-tool group add –h  
samba-tool group add your_domain_group

8. Verwijder een samba-domeingroep door de onderstaande opdracht uit te voeren:

samba-tool group delete your_domain_group

9. Om alle samba-domeingroepen weer te geven, voer je de volgende opdracht uit:

samba-tool group list

10. Om alle samba-domeinleden in een specifieke groep weer te geven, gebruik je de opdracht:

samba-tool group listmembers "your_domain group"

11. Het toevoegen/verwijderen van een lid uit een samba-domeingroep kan worden gedaan door een van de volgende opdrachten te geven:

samba-tool group addmembers your_domain_group your_domain_user
samba-tool group remove members your_domain_group your_domain_user

12. Zoals eerder vermeld, kan de opdrachtregelinterface van samba-tool ook worden gebruikt om uw samba-domeinbeleid en beveiliging te beheren.

Gebruik de onderstaande opdracht om de wachtwoordinstellingen van uw samba-domein te bekijken:

samba-tool domain passwordsettings show

13. Om het wachtwoordbeleid van het samba-domein te wijzigen, zoals het niveau van wachtwoordcomplexiteit, wachtwoordveroudering, lengte, hoeveel oude wachtwoorden u moet onthouden en andere beveiligingsfuncties die vereist zijn voor een domeincontroller, gebruikt u de onderstaande schermafbeelding als een gids.

---------- List all command options ---------- 
samba-tool domain passwordsettings -h

Gebruik nooit de wachtwoordbeleidsregels zoals hierboven geïllustreerd in een productieomgeving. De bovenstaande instellingen worden alleen gebruikt voor demonstratiedoeleinden.

Stap 2: Samba lokale authenticatie met behulp van Active Directory-accounts

14. AD-gebruikers kunnen standaard niet lokaal inloggen op het Linux-systeem buiten de Samba AD DC-omgeving.

Om op het systeem in te loggen met een Active Directory-account moet u de volgende wijzigingen aanbrengen in uw Linux-systeemomgeving en Samba4 AD DC aanpassen.

Open eerst het hoofdconfiguratiebestand van Samba en voeg de onderstaande regels toe, indien ontbreken, zoals geïllustreerd in de onderstaande schermafbeelding.

sudo nano /etc/samba/smb.conf

Zorg ervoor dat de volgende instructies in het configuratiebestand verschijnen:

winbind enum users = yes
winbind enum groups = yes

15. Nadat u de wijzigingen heeft aangebracht, gebruikt u het hulpprogramma testparm om er zeker van te zijn dat er geen fouten worden gevonden in het samba-configuratiebestand en start u de samba-daemons opnieuw op door de onderstaande opdracht uit te voeren.

testparm
sudo systemctl restart samba-ad-dc.service

16. Vervolgens moeten we de lokale PAM-configuratiebestanden aanpassen zodat Samba4 Active Directory-accounts zich kunnen verifiëren en een sessie op het lokale systeem kunnen openen en een thuis kunnen maken map voor gebruikers bij de eerste aanmelding.

Gebruik de opdracht pam-auth-update om de PAM-configuratieprompt te openen en zorg ervoor dat u alle PAM-profielen inschakelt met behulp van de [spatie]-toets, zoals geïllustreerd in de onderstaande schermafbeelding.

Wanneer u klaar bent, drukt u op de [Tab]-toets om naar Ok te gaan en de wijzigingen toe te passen.

sudo pam-auth-update

17. Open nu het bestand /etc/nsswitch.conf met een teksteditor en voeg een winbind-instructie toe aan het einde van de wachtwoord- en groepsregels zoals geïllustreerd op de onderstaande schermafbeelding.

sudo vi /etc/nsswitch.conf

18. Bewerk ten slotte het bestand /etc/pam.d/common-password, zoek naar de onderstaande regel zoals geïllustreerd in de onderstaande schermafbeelding en verwijder de use_authtok< verklaring.

Deze instelling zorgt ervoor dat Active Directory-gebruikers hun wachtwoord kunnen wijzigen vanaf de opdrachtregel terwijl ze zijn geverifieerd in Linux. Als deze instelling is ingeschakeld, kunnen AD-gebruikers die lokaal zijn geverifieerd op Linux hun wachtwoord niet wijzigen vanaf de console.

password       [success=1 default=ignore]      pam_winbind.so try_first_pass

Verwijder de optie use_authtok elke keer dat PAM-updates worden geïnstalleerd en toegepast op PAM-modules of elke keer dat u de opdracht pam-auth-update uitvoert.

19. Samba4 binaire bestanden worden geleverd met een ingebouwde winbindd daemon die standaard is ingeschakeld.

Om deze reden bent u niet langer verplicht om de winbind daemon, geleverd door het winbind pakket, vanuit officiële Ubuntu-repository's apart in te schakelen en uit te voeren.

Als de oude en verouderde winbind service op het systeem wordt gestart, zorg er dan voor dat u deze uitschakelt en de service stopt door de onderstaande opdrachten te geven:

sudo systemctl disable winbind.service
sudo systemctl stop winbind.service

Hoewel we de oude winbind-daemon niet langer hoeven uit te voeren, moeten we nog steeds het Winbind-pakket vanuit repository's installeren om de wbinfo tool te installeren en te gebruiken.

Het hulpprogramma Wbinfo kan worden gebruikt om Active Directory-gebruikers en -groepen te ondervragen vanuit het standpunt van de winbindd-daemon.

De volgende opdrachten illustreren hoe u AD-gebruikers en -groepen kunt ondervragen met behulp van wbinfo.

wbinfo -g
wbinfo -u
wbinfo -i your_domain_user

20. Naast het hulpprogramma wbinfo kunt u ook het opdrachtregelhulpprogramma getent gebruiken om de Active Directory-database op te vragen vanuit Name Service Switch-bibliotheken die worden weergegeven in /etc/nsswitch.conf bestand.

Leid de opdracht getent door een grep-filter om de resultaten te beperken met betrekking tot alleen uw AD-realm-gebruikers- of groepsdatabase.

getent passwd | grep TECMINT
getent group | grep TECMINT

Stap 3: Log in op Linux met een Active Directory-gebruiker

21. Om te authenticeren op het systeem met een Samba4 AD-gebruiker, gebruikt u gewoon de parameter AD-gebruikersnaam na su - commando.

Bij de eerste keer inloggen wordt er een bericht weergegeven op de console waarin u wordt geïnformeerd dat er een thuismap is aangemaakt op het /home/$DOMAIN/ systeempad met de naam van uw AD-gebruikersnaam.

Gebruik id command om extra informatie over de geverifieerde gebruiker weer te geven.

su - your_ad_user
id
exit

22. Om het wachtwoord voor een geverifieerde AD-gebruiker te wijzigen, typt u de passwd-opdracht in de console nadat u succesvol bent ingelogd op het systeem.

su - your_ad_user
passwd

23. Standaard krijgen Active Directory-gebruikers geen rootrechten om beheerderstaken op Linux uit te voeren.

Om rootbevoegdheden aan een AD-gebruiker te verlenen, moet u de gebruikersnaam toevoegen aan de lokale sudo groep door de onderstaande opdracht te geven.

Zorg ervoor dat u de realm, slash en AD-gebruikersnaam tussen enkele ASCII aanhalingstekens plaatst.

usermod -aG sudo 'DOMAIN\your_domain_user'

Om te testen of de AD-gebruiker root-rechten heeft op het lokale systeem, logt u in en voert u een opdracht uit, zoals apt-get update, met sudo-rechten.

su - tecmint_user
sudo apt-get update

24. Als u rootrechten wilt toevoegen aan alle accounts van een Active Directory-groep, bewerkt u het bestand /etc/sudoers met de opdracht visudo en voeg de onderstaande regel toe na de rootprivilegesregel, zoals geïllustreerd in de onderstaande schermafbeelding:

%DOMAIN\\your_domain\  group ALL=(ALL:ALL) ALL

Besteed aandacht aan de syntaxis van sudoers, zodat je geen dingen uit de doeken doet.

Het Sudoers-bestand kan niet zo goed omgaan met het gebruik van ASCII aanhalingstekens, dus zorg ervoor dat u % gebruikt om aan te geven dat u naar een groep verwijst en gebruik een backslash om laat de eerste schuine streep achter de domeinnaam achter en nog een backslash om spaties te verwijderen als uw groepsnaam spaties bevat (de meeste ingebouwde AD-groepen bevatten standaard spaties). Schrijf het rijk ook met hoofdletters.

Dat is het voor nu! Het beheren van de Samba4 AD-infrastructuur kan ook worden bereikt met verschillende tools uit de Windows-omgeving, zoals ADUC, DNS Manager, GPM > of iets anders, dat kan worden verkregen door het RSAT-pakket te installeren vanaf de Microsoft-downloadpagina.

Om Samba4 AD DC te beheren via RSAT hulpprogramma's, is het absoluut noodzakelijk om het Windows-systeem te koppelen aan Samba4 Active Directory. Dit zal het onderwerp zijn van onze volgende tutorial. Houd tot die tijd TecMint in de gaten.