A Samba4 AD infrastruktúra kezelése Linux parancssorból

instagram story viewer

Ez az oktatóanyag fedezi néhány alapvető napi parancs használni kell a kezeléshez Samba4 AD tartományvezérlő infrastruktúrát, például a felhasználók és csoportok hozzáadását, eltávolítását, letiltását vagy listázását.

Azt is megvizsgáljuk, hogyan kezelheti a tartomány biztonsági házirendjét, és hogyan kötheti az AD -felhasználókat a helyi PAM -hitelesítéshez annak érdekében, hogy az AD -felhasználók helyi bejelentkezéseket tudjanak végrehajtani a Linux tartományvezérlőn.

Követelmények

  1. Hozzon létre egy AD infrastruktúrát a Samba4 segítségével az Ubuntu 16.04 -en - 1. rész
  2. A Samba4 Active Directory infrastruktúra kezelése Windows 10 -ből RSAT -on keresztül - 3. rész
  3. A Samba4 AD tartományvezérlő DNS -ének és csoportházirendjének kezelése a Windows rendszerből - 4. rész

1. lépés: A Samba AD DC kezelése a parancssorból

1.Samba AD DC keresztül lehet kezelni szamba-eszköz parancssori segédprogram, amely nagyszerű felületet kínál a domain felügyeletéhez.

A samba-tool felület segítségével közvetlenül kezelheti a tartomány felhasználóit és csoportjait, a tartomány csoportházirendjét, a tartományi helyeket, a DNS szolgáltatásokat, a tartomány replikációját és más fontos tartományfunkciókat.

A samba-tool teljes funkcionalitásának áttekintéséhez írja be a parancsot root jogosultságokkal, opció vagy paraméter nélkül.

# samba -tool -h. 
samba -tool - A Samba Administration Tool kezelése
samba-tool-A Samba Administration Tool kezelése

2. Most kezdjük el használni szamba-eszköz adminisztrációs segédprogram Samba4 Active Directory és kezeljük felhasználóinkat.

Felhasználó létrehozásához az AD -ban használja a következő parancsot:

# samba-tool user add your_domain_user. 

Ha az AD által megkövetelt, több fontos mezőt tartalmazó felhasználót szeretne hozzáadni, használja a következő szintaxist:

 tekintse át az összes lehetőséget  # samba-tool user add -h # samba-tool user add your_domain_user --given-name = your_name-vezetéknév = your_username [e -mail védett] --login-shell =/bin/bash. 
Felhasználó létrehozása a Samba AD -n
Felhasználó létrehozása a Samba AD -n

3. Az összes samba AD tartomány felhasználójának listáját a következő parancs kiadásával szerezheti be:

# samba-tool felhasználói lista. 
Sorolja fel a Samba AD felhasználókat
Sorolja fel a Samba AD felhasználókat

4. Törléshez a samba AD domain felhasználó használja az alábbi szintaxist:

# samba-tool felhasználó törölje a_domain_felhasználóját. 

5. Állítsa vissza a samba tartomány felhasználói jelszavát az alábbi parancs végrehajtásával:

# samba-tool user setpassword your_domain_user. 

6. A samba AD felhasználói fiók letiltásához vagy engedélyezéséhez használja az alábbi parancsot:

# samba-tool felhasználó letiltja a_domain_felhasználóját. # samba-tool felhasználó engedélyezi a_domain_felhasználóját. 

7. Hasonlóképpen, a samba csoportok a következő parancsszintaxissal kezelhetők:

 tekintse át az összes lehetőséget  # samba-tool group add –h # samba-tool group add your_domain_group. 

8. Töröljön egy samba tartománycsoportot az alábbi parancs kiadásával:

# samba-tool csoport törli a_tartomány_csoportját. 

9. Az összes samba tartománycsoport megjelenítéséhez futtassa a következő parancsot:

# samba-tool csoport lista. 

10. Egy adott csoport összes samba tartomány tagjának listázásához használja a következő parancsot:

# samba-tool group listmember "your_domain group"
Sorolja fel a csoport Samba domain tagjait
Sorolja fel a csoport Samba domain tagjait

11. Tag hozzáadása/eltávolítása a samba tartománycsoportból az alábbi parancsok egyikével történhet:

# samba-tool csoport hozzáadja az Ön_domain_group your_domain_user elemet. # samba-tool group távolítsa el a saját domain_csoportja tagjait 

12. Amint korábban említettük, a samba-tool parancssori felület is használható a samba tartomány házirendjének és biztonságának kezelésére.

A samba tartomány jelszavának beállításainak megtekintéséhez használja az alábbi parancsot:

# samba-tool domain jelszóbeállítások jelennek meg. 
Ellenőrizze a Samba domain jelszavát
Ellenőrizze a Samba domain jelszavát

13. A samba tartomány jelszavas házirendjének módosítása érdekében, mint például a jelszó összetettségi szintje, a jelszó öregedése, hossza, hogyan sok régi megjegyezendő jelszó és más, a tartományvezérlőhöz szükséges biztonsági szolgáltatások az alábbi képernyőképet használják a útmutató.

 Sorolja fel az összes parancslehetőséget  # samba -tool domain jelszavak beállítása -h 
A Samba tartományjelszó -beállításainak kezelése
A Samba tartományjelszó -beállításainak kezelése

Soha ne használja éles környezetben a jelszavakra vonatkozó szabályokat, ahogyan a fentiekben látható. A fenti beállítások csak bemutató célokra szolgálnak.

2. lépés: Helyi Samba hitelesítés az Active Directory -fiókok használatával

14. Alapértelmezés szerint az AD felhasználók nem végezhetnek helyi bejelentkezéseket a Linux rendszeren kívül Samba AD DC környezet.

Annak érdekében, hogy bejelentkezzen a rendszerbe Active Directory fiókot, akkor a következő módosításokat kell végrehajtania a Linux rendszerkörnyezetén, és módosítania kell a Samba4 AD DC -t.

Először nyissa meg a samba fő konfigurációs fájlját, és ha hiányzik, adja hozzá az alábbi sorokat, amint az az alábbi képernyőképen látható.

$ sudo nano /etc/samba/smb.conf. 

Győződjön meg arról, hogy a következő állítások jelennek meg a konfigurációs fájlban:

winbind enum users = igen. winbind enum groups = igen. 
Samba hitelesítés az Active Directory felhasználói fiókok használatával
Samba hitelesítés az Active Directory felhasználói fiókok használatával

15. A módosítások elvégzése után használja tesztkar segédprogrammal, hogy megbizonyosodjon arról, hogy nem található hiba a samba konfigurációs fájljában, és indítsa újra a samba démonokat az alábbi parancs kiadásával.

$ testparm. $ sudo systemctl indítsa újra a samba-ad-dc.service szolgáltatást. 
Ellenőrizze a Samba konfigurációját hibákért
Ellenőrizze a Samba konfigurációját hibákért

16. Ezután módosítanunk kell a helyi PAM konfigurációs fájlokat annak érdekében Samba4 Active Directory fiókokat, hogy hitelesíteni tudjanak és megnyithassanak egy munkamenetet a helyi rendszeren, és létrehozzanak egy saját könyvtárat a felhasználók számára az első bejelentkezéskor.

Használja a pam-auth-update paranccsal nyissa meg a PAM konfigurációs parancssort, és győződjön meg arról, hogy engedélyezi az összes PAM -profilt a használatával [hely] gombot az alábbi képernyőképen látható módon.

Amikor befejezte ütés [Tab] kulcs, amelyhez lépni kell Rendben és alkalmazza a módosításokat.

$ sudo pam-auth-update. 
PAM konfigurálása a Samba4 AD számára
PAM konfigurálása a Samba4 AD számára
Engedélyezze a PAM hitelesítési modult a Samba4 AD felhasználók számára
Engedélyezze a PAM hitelesítési modult a Samba4 AD felhasználók számára

17. Most nyitva /etc/nsswitch.conf fájlt szövegszerkesztővel, és adja hozzá winbind nyilatkozat a jelszó és a csoport sorok végén, amint az az alábbi képernyőképen látható.

$ sudo vi /etc/nsswitch.conf. 
Adjon hozzá Windbind szolgáltatáskapcsolót a Samba számára
Adjon hozzá Windbind szolgáltatáskapcsolót a Samba számára

18. Végül szerkessze /etc/pam.d/common-password fájlt, keresse meg az alábbi sort az alábbi képernyőképen látható módon, és távolítsa el a use_authtok nyilatkozat.

Ez a beállítás biztosítja, hogy az Active Directory -felhasználók megváltoztathatják jelszavukat a parancssorból, miközben hitelesítve vannak Linuxon. Ezzel a beállítással a Linuxon helyileg hitelesített AD felhasználók nem tudják megváltoztatni jelszavukat a konzolról.

jelszó [siker = 1 alapértelmezett = figyelmen kívül hagyás] pam_winbind.so try_first_pass. 
Engedélyezze a Samba AD felhasználók számára a jelszavak megváltoztatását
Engedélyezze a Samba AD felhasználók számára a jelszavak megváltoztatását

Eltávolítás use_authtok opciót minden alkalommal, amikor a PAM frissítéseket telepítik és alkalmazzák a PAM modulokra, vagy minden végrehajtáskor pam-auth-update parancs.

19. A Samba4 bináris fájljai a winbindd démon beépített és alapértelmezés szerint engedélyezett.

Emiatt már nem kell külön engedélyezni és futtatni winbind által biztosított démon winbind csomagot a hivatalos Ubuntu tárolókból.

Abban az esetben, ha a régi és elavult winbind szolgáltatás elindítása a rendszeren, győződjön meg róla, hogy letiltja és leállítja a szolgáltatást az alábbi parancsok kiadásával:

$ sudo systemctl letiltja a winbind.service szolgáltatást. $ sudo systemctl állítsa le a winbind.service szolgáltatást. 

Bár már nem kell futtatnunk a régi winbind démont, a Winbind csomagot telepítenünk kell a tárolókból a telepítéshez és használathoz wbinfo eszköz.

Wbinfo segédprogram segítségével lekérdezheti az Active Directory felhasználókat és csoportokat winbindd démon szemszögéből.

A következő parancsok bemutatják, hogyan lehet lekérdezni az AD felhasználókat és csoportokat wbinfo.

$ wbinfo -g. $ wbinfo -u. $ wbinfo -a_domain_user. 
Ellenőrizze a Samba4 AD információit
Ellenőrizze a Samba4 AD információit
Ellenőrizze a Samba4 AD felhasználói adatait
Ellenőrizze a Samba4 AD felhasználói adatait

20. Attól eltekintve wbinfo segédprogramot is használhatja getent parancssori segédprogram segítségével lekérdezheti az Active Directory adatbázist a Name Service Switch könyvtárakból /etc/nsswitch.conf fájlt.

Cső getent parancsot a grep szűrőt, hogy szűkítse az eredményeket csak az AD tartomány felhasználói vagy csoportadatbázisával kapcsolatban.

# getent passwd | grep TECMINT. # getent csoport | grep TECMINT. 
Szerezze be a Samba4 AD részleteit
Szerezze be a Samba4 AD részleteit

3. lépés: Jelentkezzen be Linuxra Active Directory felhasználóval

21. Annak érdekében, hogy a rendszeren a Samba4 Kr. E felhasználó, csak használja a AD felhasználónév paraméter után su - parancs.

Az első bejelentkezéskor egy üzenet jelenik meg a konzolon, amely értesíti Önt, hogy létrehozott egy saját könyvtárat /home/$DOMAIN/ rendszer elérési útját az AD felhasználónév sörényével.

Használat id parancs hogy további információkat jelenítsen meg a hitelesített felhasználóról.

# su - your_ad_user. $ id. $ kijárat. 
Ellenőrizze a Samba4 AD felhasználói hitelesítést Linuxon
Ellenőrizze a Samba4 AD felhasználói hitelesítést Linuxon

22. A hitelesített AD felhasználói típus jelszavának megváltoztatása passwd parancs konzolon, miután sikeresen bejelentkezett a rendszerbe.

$ su - a te_ad_user. $ passwd. 
Változtassa meg a Samba4 AD felhasználói jelszavát
Változtassa meg a Samba4 AD felhasználói jelszavát

23. Alapértelmezés szerint, Active Directory a felhasználók nem kapnak root jogosultságokat az adminisztrációs feladatok Linuxon történő elvégzéséhez.

Ha root jogosultságot szeretne adni egy AD felhasználónak, hozzá kell adnia a felhasználónevet a helyihez sudo csoportot az alábbi parancs kiadásával.

Feltétlenül mellékelje a birodalom, vágás és AD felhasználónév egyedülállóval ASCII idézetek.

# usermod -aG sudo 'DOMAIN \ your_domain_user'

Annak ellenőrzéséhez, hogy az AD felhasználó rendelkezik -e root jogosultságokkal a helyi rendszeren, jelentkezzen be és futtasson egy parancsot, például apt-get frissítés, sudo jogosultságokkal.

# su - tecmint_user. $ sudo apt-get frissítés. 
Adjon sudo engedélyt a Samba4 AD felhasználónak
Adjon sudo engedélyt a Samba4 AD felhasználónak

24. Ha root jogosultságokat szeretne hozzáadni az Active Directory csoport összes fiókjához, szerkessze /etc/sudoers fájl használatával visudo parancsot, és adja hozzá az alábbi sort a root jogosultságok sora után, amint az az alábbi képernyőképen látható:

%DOMAIN \\ your_domain \ group ALL = (ALL: ALL) ALL. 

Figyelni sudoers szintaxis, hogy ne törje ki a dolgokat.

A Sudoers fájl nem jól kezeli a használatát ASCII idézőjelek, ezért feltétlenül használja % hogy jelezze, hogy egy csoportra hivatkozik, és egy fordított perjelet használ a domain név utáni első perjel elkerülésére, és egy másik fordított perjel a szóközök elhagyásához, ha a csoport neve szóközt tartalmaz (az AD beépített csoportjainak többsége szóközt tartalmaz alapértelmezett). Ezenkívül írja be a területet nagybetűkkel.

Adjon hozzáférést a Sudo -nak minden Samba4 AD felhasználónak
Adjon hozzáférést a Sudo -nak minden Samba4 AD felhasználónak

Ez minden most! Samba4 AD kezelése az infrastruktúra többféle Windows környezetből származó eszközzel is elérhető, mint pl ADUC, DNS -kezelő, G PM vagy más, amelyet telepítéssel szerezhet be RSAT csomag a Microsoft letöltési oldaláról.

Adminisztrálni Samba4 AD DC keresztül RSAT segédprogramok, feltétlenül szükséges, hogy csatlakozzon a Windows rendszerhez Samba4 Active Directory. Ez lesz a következő oktatóanyagunk tárgya, addig maradjon velünk TecMint.

Teachs.ru