Wéi Dir Samba4 AD Infrastruktur vun der Linux Command Line verwalten - Deel 2
Dësen Tutorial wäert e puer grondleeënd alldeeglech Kommandoen ofdecken, déi Dir benotze musst fir d'Samba4 AD Domain Controller Infrastruktur ze verwalten, sou wéi d'Addéieren, d'Ewechhuele, auszeschalten oder d'Benotzer a Gruppen opzemaachen.
Mir wäerten och kucken wéi d'Domain Sécherheetspolitik verwalten a wéi d'AD Benotzer un d'lokal PAM Authentifikatioun binden fir datt d'AD Benotzer fäeg sinn lokal Login op Linux Domain Controller auszeféieren.
- Erstellt eng AD Infrastruktur mat Samba4 op Ubuntu 16.04 - Deel 1
- Manage Samba4 Active Directory Infrastructure from Windows10 via RSAT - Part 3
- Manage Samba4 AD Domain Controller DNS a Group Policy from Windows - Part 4
Schrëtt 1: Verwalte Samba AD DC vun der Command Line
1. Samba AD DC kann duerch Samba-Tool Kommandozeil Utility geréiert ginn, deen e super Interface bitt fir Äert Domain ze administréieren.
Mat der Hëllef vun der Samba-Tool Interface kënnt Dir direkt Domain Benotzer a Gruppen verwalten, Domain Group Policy, Domain Siten, DNS Servicer, Domain Replikatioun an aner kritesch Domain Funktiounen.
Fir d'ganz Funktionalitéit vum Samba-Tool ze iwwerpréiwen, gitt einfach de Kommando mat Root Privilegien ouni Optioun oder Parameter.
# samba-tool -h
2. Loosst eis elo Samba-Tool Utility benotzen fir Samba4 Active Directory ze verwalten an eis Benotzer ze verwalten.
Fir e Benotzer op AD ze kreéieren benotzt de folgende Kommando:
# samba-tool user add your_domain_user
Fir e Benotzer mat verschiddene wichtege Felder ze addéieren, déi vun AD erfuerderlech sinn, benotzt déi folgend Syntax:
--------- review all options --------- # samba-tool user add -h # samba-tool user add your_domain_user --given-name=your_name --surname=your_username [email --login-shell=/bin/bash
3. Eng Lëscht vun all Samba AD Domain Benotzer kann kritt ginn andeems Dir de folgende Kommando ausgitt:
# samba-tool user list
4. Fir e Samba AD Domain Benotzer ze läschen benotzt déi folgend Syntax:
# samba-tool user delete your_domain_user
5. Reset e Samba Domain Benotzer Passwuert andeems Dir de folgende Kommando ausféiert:
# samba-tool user setpassword your_domain_user
6. Fir e Samba AD Benotzerkont auszeschalten oder z'aktivéieren benotzt de folgende Kommando:
# samba-tool user disable your_domain_user # samba-tool user enable your_domain_user
7. Och Samba Gruppen kënne mat der folgender Kommando Syntax verwaltet ginn:
--------- review all options --------- # samba-tool group add –h # samba-tool group add your_domain_group
8. Läschen eng Samba Domain Grupp andeems Dir de folgende Kommando ausgitt:
# samba-tool group delete your_domain_group
9. Fir all Samba Domaingruppen ze weisen, fuert de folgende Kommando:
# samba-tool group list
10. Fir all Samba Domain Memberen an enger spezifescher Grupp ze lëschten benotzt de Kommando:
# samba-tool group listmembers "your_domain group"
11. E Member vun enger Samba Domain Grupp bäizefügen/ewechhuelen kann gemaach ginn andeems Dir ee vun de folgende Kommandoen ausgitt:
# samba-tool group addmembers your_domain_group your_domain_user # samba-tool group remove members your_domain_group your_domain_user
12. Wéi virdru scho gesot, Samba-Tool Kommandozeil Interface kann och benotzt ginn fir Är Samba Domain Politik a Sécherheet ze verwalten.
Fir Är Samba Domain Passwuert Astellungen ze iwwerpréiwen benotzt de folgende Kommando:
# samba-tool domain passwordsettings show
13. Fir d'Samba Domain Passwuert Politik z'änneren, wéi de Passwuert Komplexitéit Niveau, Passwuert Alterung, Längt, wéivill al Passwuert ze erënneren an aner Sécherheet Fonctiounen néideg fir en Domain Controller benotzt de ënnendrënner Screenshot als Guide.
---------- List all command options ---------- # samba-tool domain passwordsettings -h
Benotzt ni d'Passwuertpolitikregele wéi uewen op engem Produktiounsëmfeld illustréiert. Déi uewe genannte Astellunge gi just fir Demonstratiounszwecker benotzt.
Schrëtt 2: Samba Lokal Authentifikatioun Mat Active Directory Konten
14. Par défaut kënnen AD Benotzer net lokal Login op de Linux System ausserhalb Samba AD DC Ëmfeld maachen.
Fir Iech op de System mat engem Active Directory Kont ze aloggen, musst Dir déi folgend Ännerungen an Ärem Linux System Ëmfeld maachen an de Samba4 AD DC änneren.
Als éischt, öffnen d'Samba Haaptkonfiguratiounsdatei a füügt déi ënnescht Linnen un, wa fehlt, wéi illustréiert op de Screenshot hei ënnen.
$ sudo nano /etc/samba/smb.conf
Vergewëssert Iech datt déi folgend Aussoen op der Konfiguratiounsdatei erschéngen:
winbind enum users = yes winbind enum groups = yes
15. Nodeems Dir d'Ännerunge gemaach hutt, benotzt Testparm Utility fir sécher ze stellen datt keng Feeler op der Samba Konfiguratiounsdatei fonnt ginn an d'Samba Daemons nei starten andeems Dir de Kommando hei ënnen ausgitt.
$ testparm $ sudo systemctl restart samba-ad-dc.service
16. Als nächst musse mir lokal PAM Konfiguratiounsdateien änneren, fir datt Samba4 Active Directory Konte kënnen authentifizéieren an eng Sessioun am lokalen System opmaachen an en Heemverzeechnes fir Benotzer beim éischte Login erstellen.
Benotzt de Kommando pam-auth-update fir PAM Konfiguratiounsprompt opzemaachen a gitt sécher datt Dir all PAM Profiler aktivéiert mat [Space] Schlëssel wéi illustréiert op de Screenshot hei ënnen.
Wann Dir fäerdeg sidd, dréckt [Tab] Schlëssel fir op Ok ze réckelen an Ännerungen z'applizéieren.
$ sudo pam-auth-update
17. Elo, öffnen /etc/nsswitch.conf Datei mat engem Texteditor a füügt winbind Ausso um Enn vum Passwuert a Gruppelinnen un wéi op de Screenshot hei ënnen illustréiert.
$ sudo vi /etc/nsswitch.conf
18. Endlech, edit /etc/pam.d/common-password-Datei, sicht no der ënnen Linn wéi illustréiert op de Screenshot hei ënnen an läscht d'use_authtok Ausso.
Dës Astellung garantéiert datt Active Directory Benotzer hir Passwuert vun der Kommandozeil änneren kënnen wärend se a Linux authentifizéiert sinn. Mat dëser Astellung op, AD Benotzer lokal authentifizéiert op Linux kënnen hir Passwuert vun der Konsole net änneren.
password [success=1 default=ignore] pam_winbind.so try_first_pass
Ewechzehuelen use_authtok Optioun all Kéier wann PAM Aktualiséierungen installéiert an op PAM Moduler applizéiert ginn oder all Kéier wann Dir pam-auth-update Kommando ausféiert.
19. Samba4 binäre kënnt mat engem winbindd Daemon gebaut-an an als Standard aktivéiert.
Aus dësem Grond sidd Dir net méi erfuerderlech fir de Winbind Daemon separat z'aktivéieren an auszeféieren, geliwwert vum Winbind Package vun offiziellen Ubuntu Repositories.
Am Fall wou den alen an deprecéierten Winbind Service um System gestart gëtt, vergewëssert Iech datt Dir et deaktivéiert an de Service stoppt andeems Dir déi folgend Kommandoen ausgëtt:
$ sudo systemctl disable winbind.service $ sudo systemctl stop winbind.service
Och wa mir net méi alen Winbind Daemon brauchen, musse mir nach ëmmer Winbind Package vu Repositories installéieren fir wbinfo Tool z'installéieren an ze benotzen.
Wbinfo Utility kann benotzt ginn fir Active Directory Benotzer a Gruppen aus Winbindd Daemon Siicht ze froen.
Déi folgend Kommandoen illustréieren wéi AD Benotzer a Gruppen mat wbinfo ufroen.
$ wbinfo -g $ wbinfo -u $ wbinfo -i your_domain_user
20. Ausser wbinfo Utility kënnt Dir och getent Kommandozeil Utility benotze fir Active Directory Datebank vun Name Service Switch Bibliothéiken ze froen, déi an der /etc/nsswitch.conf Datei vertruede sinn.
Pipe getent Kommando duerch e grep Filter fir d'Resultater betreffend just Ären AD Räich Benotzer oder Grupp Datebank ze schmuel.
# getent passwd | grep TECMINT # getent group | grep TECMINT
Schrëtt 3: Login op Linux mat engem Active Directory Benotzer
21. Fir op de System mat engem Samba4 AD Benotzer ze authentifizéieren, benotzt just den AD Benotzernumm Parameter nom Kommando su -.
Bei der éischter Login gëtt e Message op der Konsol ugewisen, deen Iech matdeelt datt en Heemverzeichnis op /home/$DOMAIN/ Systemwee mat der Mane vun Ärem AD Benotzernumm erstallt gouf.
Benotzt ID Kommando fir extra Informatioun iwwer den authentifizéierte Benotzer ze weisen.
# su - your_ad_user $ id $ exit
22. Fir d'Passwuert fir eng authentifizéiert AD Benotzer z'änneren, Typ passwd Kommando an der Konsole nodeems Dir erfollegräich an de System ageloggt sidd.
$ su - your_ad_user $ passwd
23. Par défaut ginn Active Directory Benotzer net mat Root-Privilegien ausgezeechent fir administrativ Aufgaben op Linux auszeféieren.
Fir root Muechten un en AD Benotzer ze ginn, musst Dir de Benotzernumm an d'lokal Sudo Grupp addéieren andeems Dir de Kommando hei ënnen ausgitt.
Vergewëssert Iech datt Dir d'Räich, d'Slash an d'AD Benotzernumm mat eenzegen ASCII Zitater ëmschléisst.
# usermod -aG sudo 'DOMAIN\your_domain_user'
Fir ze testen ob den AD Benotzer Root Privilegien am lokalen System huet, aloggen a lafen e Kommando, wéi apt-get update, mat sudo Permissiounen.
# su - tecmint_user $ sudo apt-get update
24. Am Fall wou Dir Root Privilegien fir all Konte vun enger Active Directory Grupp wëllt addéieren, änneren /etc/sudoers Datei mat visudo Kommando a füügt d'Linn ënnen no der Root Privilegien Linn, wéi illustréiert op de Screenshot hei ënnen:
%DOMAIN\\your_domain\ group ALL=(ALL:ALL) ALL
Opgepasst op sudoers Syntax sou datt Dir d'Saachen net ausbriechen.
Sudoers Datei handhabt net ganz gutt d'Benotzung vun ASCII Zitatmarken, also vergewëssert Iech datt Dir % benotzt fir ze bezeechnen datt Dir op eng Grupp schwätzt a benotzt e Réckschnëtt fir den éischte Slash no der Domain z'entkommen Numm an en aneren Réckschnëtt fir Plazen z'entkommen, wann Äre Gruppenumm Plazen enthält (déi meescht AD agebaute Gruppen enthalen Standardplazen). Schreift och d'Räich mat grousse Buschtawen.
Dat ass alles fir elo! D'Gestioun vun Samba4 AD Infrastruktur kann och mat verschiddenen Tools aus Windows Ëmfeld erreecht ginn, wéi ADUC, DNS Manager, GPM oder aner, déi kritt kënne ginn andeems Dir RSAT Package vun der Microsoft Download Säit installéiert.
Fir Samba4 AD DC iwwer RSAT Utilities ze verwalten, ass et absolut noutwendeg fir de Windows System an de Samba4 Active Directory ze verbannen. Dëst wäert d'Thema vun eisem nächsten Tutorial sinn, bis dohin bleift op TecMint ofgeschloss.