Как управлять инфраструктурой Samba4 AD из командной строки Linux. Часть 2
В этом руководстве будут рассмотрены некоторые основные ежедневные команды, которые необходимо использовать для управления инфраструктурой Контроллера домена Samba4 AD, такие как добавление, удаление, отключение или составление списка пользователей и групп.
Мы также рассмотрим, как управлять политикой безопасности домена и как привязать пользователей AD к локальной аутентификации PAM, чтобы пользователи AD могли выполнять локальный вход в систему на контроллере домена Linux.
Требования
- Создайте инфраструктуру AD с помощью Samba4 в Ubuntu 16.04 — часть 1
- Управление инфраструктурой Active Directory Samba4 из Windows10 через RSAT – часть 3
- Управление DNS и групповой политикой контроллера домена Samba4 AD из Windows — часть 4
Шаг 1. Управление Samba AD DC из командной строки
1. Samba AD DC можно управлять с помощью утилиты командной строки samba-tool, которая предлагает отличный интерфейс для администрирования вашего домена.
С помощью интерфейса samba-tool вы можете напрямую управлять пользователями и группами домена, групповой политикой домена, сайтами домена, службами DNS, репликацией домена и другими важными функциями домена.
Чтобы просмотреть всю функциональность samba-tool, просто введите команду с правами root без каких-либо опций или параметров.
samba-tool -h
2. Теперь давайте начнем использовать утилиту samba-tool для администрирования Samba4 Active Directory и управления нашими пользователями.
Чтобы создать пользователя в AD, используйте следующую команду:
samba-tool user add your_domain_user
Чтобы добавить пользователя с несколькими важными полями, необходимыми AD, используйте следующий синтаксис:
--------- review all options ---------
samba-tool user add -h
samba-tool user add your_domain_user --given-name=your_name --surname=your_username [email --login-shell=/bin/bash
3. Список всех пользователей домена Samba AD можно получить, выполнив следующую команду:
samba-tool user list
4. Чтобы удалить пользователя домена Samba AD, используйте следующий синтаксис:
samba-tool user delete your_domain_user
5. Сбросьте пароль пользователя домена Samba, выполнив следующую команду:
samba-tool user setpassword your_domain_user
6. Чтобы отключить или включить учетную запись пользователя Samba AD, используйте следующую команду:
samba-tool user disable your_domain_user
samba-tool user enable your_domain_user
7. Аналогично, группами Samba можно управлять с помощью следующего синтаксиса команды:
--------- review all options ---------
samba-tool group add –h
samba-tool group add your_domain_group
8. Удалите группу домена Samba, выполнив следующую команду:
samba-tool group delete your_domain_group
9. Чтобы отобразить все группы доменов Samba, выполните следующую команду:
samba-tool group list
10. Чтобы вывести список всех членов домена Samba в определенной группе, используйте команду:
samba-tool group listmembers "your_domain group"
11. Добавление/удаление участника из группы домена Samba можно выполнить, выполнив одну из следующих команд:
samba-tool group addmembers your_domain_group your_domain_user
samba-tool group remove members your_domain_group your_domain_user
12. Как упоминалось ранее, интерфейс командной строки samba-tool также можно использовать для управления политикой и безопасностью вашего домена samba.
Чтобы просмотреть настройки пароля домена Samba, используйте следующую команду:
samba-tool domain passwordsettings show
13. Чтобы изменить политику паролей домена Samba, такую как уровень сложности пароля, срок действия пароля, длину, сколько старых паролей следует запомнить, а также другие функции безопасности, необходимые для контроллера домена, используйте снимок экрана ниже, как Руководство.
---------- List all command options ----------
samba-tool domain passwordsettings -h
Никогда не используйте правила политики паролей, как показано выше, в производственной среде. Вышеуказанные настройки используются только в демонстрационных целях.
Шаг 2. Локальная аутентификация Samba с использованием учетных записей Active Directory
14. По умолчанию пользователи AD не могут выполнять локальный вход в систему Linux за пределами среды Samba AD DC.
Чтобы войти в систему с учетной записью Active Directory, вам необходимо внести следующие изменения в системную среду Linux и изменить Samba4 AD DC.
Сначала откройте основной файл конфигурации Samba и добавьте приведенные ниже строки, если они отсутствуют, как показано на снимке экрана ниже.
sudo nano /etc/samba/smb.conf
Убедитесь, что в файле конфигурации присутствуют следующие утверждения:
winbind enum users = yes
winbind enum groups = yes
15. После внесения изменений используйте утилиту testparm, чтобы убедиться, что в файле конфигурации samba нет ошибок, и перезапустите демоны samba, выполнив приведенную ниже команду.
testparm
sudo systemctl restart samba-ad-dc.service
16. Далее нам нужно изменить локальные файлы конфигурации PAM, чтобы учетные записи Samba4 Active Directory могли аутентифицироваться, открывать сеанс в локальной системе и создавать домашний каталог для пользователей при первом входе в систему.
Используйте команду pam-auth-update, чтобы открыть окно настройки PAM, и убедитесь, что вы включили все профили PAM с помощью клавиши [space], как показано на снимке экрана ниже.
По завершении нажмите клавишу [Tab], чтобы перейти к ОК и применить изменения.
sudo pam-auth-update
17. Теперь откройте файл /etc/nsswitch.conf в текстовом редакторе и добавьте оператор winbind в конце строк пароля и группы. как показано на скриншоте ниже.
sudo vi /etc/nsswitch.conf
18. Наконец, отредактируйте файл /etc/pam.d/common-password, найдите строку ниже, как показано на снимке экрана ниже, и удалите use_authtok< заявление.
Этот параметр гарантирует, что пользователи Active Directory смогут изменить свой пароль из командной строки, пройдя проверку подлинности в Linux. Если этот параметр включен, пользователи AD, прошедшие локальную аутентификацию в Linux, не смогут изменить свой пароль с консоли.
password [success=1 default=ignore] pam_winbind.so try_first_pass
Удалите параметр use_authtok каждый раз, когда обновления PAM устанавливаются и применяются к модулям PAM или каждый раз, когда вы выполняете команду pam-auth-update.
19. Двоичные файлы Samba4 поставляются со встроенным демоном winbindd, который включен по умолчанию.
По этой причине вам больше не требуется отдельно включать и запускать демон winbind, предоставляемый пакетом winbind из официальных репозиториев Ubuntu.
Если в системе запущена старая и устаревшая служба winbind, обязательно отключите ее и остановите службу, выполнив следующие команды:
sudo systemctl disable winbind.service
sudo systemctl stop winbind.service
Хотя нам больше не нужно запускать старый демон winbind, нам все равно необходимо установить пакет Winbind из репозиториев, чтобы установить и использовать инструмент wbinfo.
Утилита Wbinfo может использоваться для запроса пользователей и групп Active Directory с точки зрения демона winbindd.
Следующие команды показывают, как опрашивать пользователей и группы AD с помощью wbinfo.
wbinfo -g
wbinfo -u
wbinfo -i your_domain_user
20. Помимо утилиты wbinfo вы также можете использовать утилиту командной строки getent для запроса базы данных Active Directory из библиотек переключателей службы имен, которые представлены в 20. Strong>/etc/nsswitch.conf.
Пропустите команду getent через фильтр grep, чтобы сузить результаты, относящиеся только к базе данных пользователей или групп вашей области AD.
getent passwd | grep TECMINT
getent group | grep TECMINT
Шаг 3. Войдите в Linux с пользователем Active Directory.
21. Чтобы пройти аутентификацию в системе с пользователем Samba4 AD, просто используйте параметр AD username после su - команда.
При первом входе в консоль отобразится сообщение, уведомляющее вас о том, что по системному пути /home/$DOMAIN/ создан домашний каталог с именем вашего пользователя AD.
Используйте команду id, чтобы отобразить дополнительную информацию об аутентифицированном пользователе.
su - your_ad_user
id
exit
22. Чтобы изменить пароль для аутентифицированного пользователя AD, введите команду passwd в консоли после успешного входа в систему.
su - your_ad_user
passwd
23. По умолчанию пользователям Active Directory не предоставляются права root для выполнения административных задач в Linux.
Чтобы предоставить права root пользователю AD, вы должны добавить имя пользователя в локальную группу sudo, введя приведенную ниже команду.
Обязательно заключите область, косую черту и имя пользователя AD в одинарные ASCII кавычки.
usermod -aG sudo 'DOMAIN\your_domain_user'
Чтобы проверить, имеет ли пользователь AD права root в локальной системе, войдите в систему и выполните команду, например apt-get update, с разрешениями sudo.
su - tecmint_user
sudo apt-get update
24. Если вы хотите добавить права root для всех учетных записей группы Active Directory, отредактируйте файл /etc/sudoers с помощью команды visudo и добавьте строку ниже после строки root-привилегий, как показано на снимке экрана ниже:
%DOMAIN\\your_domain\ group ALL=(ALL:ALL) ALL
Обратите внимание на синтаксис sudoers, чтобы ничего не сломать.
Файл Sudoers не очень хорошо обрабатывает использование кавычек ASCII, поэтому обязательно используйте %, чтобы обозначить, что вы ссылаетесь на группу, и используйте обратную косую черту для экранируйте первую косую черту после имени домена и еще одну обратную косую черту, чтобы избежать пробелов, если имя вашей группы содержит пробелы (большинство встроенных групп AD содержат пробелы по умолчанию). Также напишите область заглавными буквами.
На данный момент это все! Управление инфраструктурой Samba4 AD также можно осуществлять с помощью нескольких инструментов из среды Windows, таких как ADUC, DNS Manager, GPM. > или другое, которое можно получить, установив пакет RSAT со страницы загрузки Microsoft.
Для администрирования Samba4 AD DC с помощью утилит RSAT абсолютно необходимо подключить систему Windows к Samba4 Active Directory. Это станет темой нашего следующего урока, а пока следите за обновлениями TecMint.