Vyhledávání na webu

Jak spravovat infrastrukturu Samba4 AD z příkazového řádku Linuxu – část 2

Tento výukový program se zabývá některými základními denními příkazy, které potřebujete ke správě infrastruktury Samba4 AD Domain Controller, jako je přidávání, odebírání, deaktivace nebo výpis uživatelů a skupin.

Podíváme se také na to, jak spravovat zásady zabezpečení domény a jak svázat uživatele AD s místním ověřováním PAM, aby uživatelé AD mohli provádět místní přihlášení na řadiči domény Linux.

Požadavky

  1. Vytvořte infrastrukturu AD pomocí Samba4 na Ubuntu 16.04 – část 1
  2. Správa Samba4 Active Directory Infrastructure z Windows 10 přes RSAT – část 3
  3. Správa DNS a zásad skupiny Samba4 AD Domain Controller z Windows – část 4

Krok 1: Správa Samba AD DC z příkazového řádku

1. Samba AD DC lze spravovat pomocí nástroje příkazového řádku samba-tool, který nabízí skvělé rozhraní pro správu vaší domény.

S pomocí rozhraní samba-tool můžete přímo spravovat uživatele a skupiny domény, zásady skupiny domény, weby domény, služby DNS, replikaci domény a další důležité funkce domény.

Chcete-li si prohlédnout celou funkčnost nástroje samba, stačí zadat příkaz s právy root bez jakékoli možnosti nebo parametru.

samba-tool -h

2. Nyní začněme používat nástroj samba-tool ke správě Samba4 Active Directory a správě našich uživatelů.

Chcete-li vytvořit uživatele na AD, použijte následující příkaz:

samba-tool user add your_domain_user

Chcete-li přidat uživatele s několika důležitými poli vyžadovanými službou AD, použijte následující syntaxi:

--------- review all options --------- 
samba-tool user add -h  
samba-tool user add your_domain_user --given-name=your_name --surname=your_username [email  --login-shell=/bin/bash

3. Seznam všech uživatelů domény samba AD lze získat zadáním následujícího příkazu:

samba-tool user list

4. Chcete-li odstranit uživatele domény samba AD, použijte níže uvedenou syntaxi:

samba-tool user delete your_domain_user

5. Resetujte uživatelské heslo domény samba provedením níže uvedeného příkazu:

samba-tool user setpassword your_domain_user

6. Chcete-li zakázat nebo povolit uživatelský účet samba AD, použijte níže uvedený příkaz:

samba-tool user disable your_domain_user
samba-tool user enable your_domain_user

7. Podobně lze skupiny samba spravovat pomocí následující syntaxe příkazu:

--------- review all options --------- 
samba-tool group add –h  
samba-tool group add your_domain_group

8. Smažte skupinu domén samba zadáním níže uvedeného příkazu:

samba-tool group delete your_domain_group

9. Chcete-li zobrazit všechny skupiny domén samba, spusťte následující příkaz:

samba-tool group list

10. Chcete-li zobrazit seznam všech členů domény samba v konkrétní skupině, použijte příkaz:

samba-tool group listmembers "your_domain group"

11. Přidání/odebrání člena ze skupiny domén samba lze provést zadáním jednoho z následujících příkazů:

samba-tool group addmembers your_domain_group your_domain_user
samba-tool group remove members your_domain_group your_domain_user

12. Jak již bylo zmíněno dříve, rozhraní příkazového řádku nástroje samba lze také použít ke správě zásad a zabezpečení vaší domény samba.

Chcete-li zkontrolovat nastavení hesla domény samba, použijte následující příkaz:

samba-tool domain passwordsettings show

13. Chcete-li upravit zásady hesel domény samba, jako je úroveň složitosti hesla, stárnutí hesla, délka, kolik starých hesel k zapamatování a další bezpečnostní funkce požadované pro řadič domény, použijte níže uvedený snímek obrazovky jako průvodce.

---------- List all command options ---------- 
samba-tool domain passwordsettings -h

Nikdy nepoužívejte pravidla zásady hesla, jak je uvedeno výše, v produkčním prostředí. Výše uvedená nastavení slouží pouze pro demonstrační účely.

Krok 2: Místní ověřování Samba pomocí účtů Active Directory

14. Ve výchozím nastavení nemohou uživatelé AD provádět místní přihlášení do systému Linux mimo prostředí Samba AD DC.

Chcete-li se přihlásit do systému pomocí účtu Active Directory, musíte v prostředí systému Linux provést následující změny a upravit Samba4 AD DC.

Nejprve otevřete hlavní konfigurační soubor samby a přidejte níže uvedené řádky, pokud chybí, jak je znázorněno na níže uvedeném snímku obrazovky.

sudo nano /etc/samba/smb.conf

Ujistěte se, že se v konfiguračním souboru objevují následující příkazy:

winbind enum users = yes
winbind enum groups = yes

15. Po provedení změn použijte nástroj testparm, abyste se ujistili, že v konfiguračním souboru samby nebyly nalezeny žádné chyby, a restartujte démony samby zadáním níže uvedeného příkazu.

testparm
sudo systemctl restart samba-ad-dc.service

16. Dále musíme upravit místní konfigurační soubory PAM, aby účty Samba4 Active Directory mohly ověřit a otevřít relaci v místním systému a vytvořit domov adresář pro uživatele při prvním přihlášení.

Pomocí příkazu pam-auth-update otevřete konfigurační výzvu PAM a ujistěte se, že jste povolili všechny profily PAM pomocí klávesy [space], jak je znázorněno na obrázku níže.

Po dokončení stiskněte klávesu [Tab] pro přesun na Ok a použití změn.

sudo pam-auth-update

17. Nyní otevřete soubor /etc/nsswitch.conf pomocí textového editoru a na konec řádku hesla a skupiny přidejte příkaz winbind jak je znázorněno na níže uvedeném snímku obrazovky.

sudo vi /etc/nsswitch.conf

18. Nakonec upravte soubor /etc/pam.d/common-password, vyhledejte řádek níže, jak je znázorněno na níže uvedeném snímku obrazovky, a odstraňte use_authtok< prohlášení.

Toto nastavení zajišťuje, že uživatelé služby Active Directory mohou změnit své heslo z příkazového řádku při ověřování v systému Linux. Je-li toto nastavení zapnuto, uživatelé AD ověření lokálně v systému Linux nemohou změnit své heslo z konzoly.

password       [success=1 default=ignore]      pam_winbind.so try_first_pass

Odeberte možnost use_authtok při každé instalaci aktualizací PAM a aplikaci na moduly PAM nebo při každém spuštění příkazu pam-auth-update.

19. Binární soubory Samba4 jsou dodávány s vestavěným a ve výchozím nastavení povoleným démonem winbindd.

Z tohoto důvodu již nemusíte samostatně povolovat a spouštět démona winbind poskytovaného balíčkem winbind z oficiálních repozitářů Ubuntu.

V případě, že je v systému spuštěna stará a zastaralá služba winbind, ujistěte se, že jste ji zakázali a zastavili službu vydáním následujících příkazů:

sudo systemctl disable winbind.service
sudo systemctl stop winbind.service

Ačkoli již nepotřebujeme spouštět starého démona winbind, stále musíme nainstalovat balíček Winbind z repozitářů, abychom mohli nainstalovat a používat nástroj wbinfo.

Nástroj Wbinfo lze použít k dotazování uživatelů a skupin služby Active Directory z pohledu démona winbindd.

Následující příkazy ilustrují, jak dotazovat uživatele a skupiny AD pomocí wbinfo.

wbinfo -g
wbinfo -u
wbinfo -i your_domain_user

20. Kromě nástroje wbinfo můžete také použít nástroj příkazového řádku getent k dotazování databáze Active Directory z knihoven přepínání služeb názvů, které jsou zastoupeny v /etc/nsswitch.conf.

Propojte příkaz getent přes filtr grep, abyste zúžili výsledky týkající se pouze vaší databáze uživatelů nebo skupin AD realm.

getent passwd | grep TECMINT
getent group | grep TECMINT

Krok 3: Přihlaste se do systému Linux pomocí uživatele služby Active Directory

21. Chcete-li se v systému ověřit pomocí uživatele Samba4 AD, stačí použít parametr Uživatelské jméno AD za su - příkaz.

Při prvním přihlášení se na konzole zobrazí zpráva, která vás upozorní, že na systémové cestě /home/$DOMAIN/ byl vytvořen domovský adresář s hřívou vašeho uživatelského jména AD.

Pomocí příkazu id zobrazíte další informace o ověřeném uživateli.

su - your_ad_user
id
exit

22. Chcete-li změnit heslo pro ověřeného uživatele AD, zadejte v konzole po úspěšném přihlášení do systému příkaz passwd.

su - your_ad_user
passwd

23. Ve výchozím nastavení nemají uživatelé Active Directory oprávnění root, aby mohli provádět administrativní úlohy v systému Linux.

Chcete-li udělit oprávnění root uživateli AD, musíte přidat uživatelské jméno do místní skupiny sudo zadáním příkazu níže.

Ujistěte se, že jste realm, lomítko a uživatelské jméno AD uzavřeli do jednoduchých uvozovek ASCII.

usermod -aG sudo 'DOMAIN\your_domain_user'

Chcete-li otestovat, zda má uživatel AD oprávnění root v místním systému, přihlaste se a spusťte příkaz, jako je apt-get update, s oprávněními sudo.

su - tecmint_user
sudo apt-get update

24. V případě, že chcete přidat oprávnění root pro všechny účty skupiny Active Directory, upravte soubor /etc/sudoers pomocí příkazu visudo a přidejte řádek níže za řádek s oprávněními uživatele root, jak je znázorněno na níže uvedeném snímku obrazovky:

%DOMAIN\\your_domain\  group ALL=(ALL:ALL) ALL

Věnujte pozornost syntaxi sudoers, abyste nic nerozházeli.

Soubor Sudoers příliš dobře nezpracovává použití ASCII uvozovek, takže se ujistěte, že používáte % k označení, že odkazujete na skupinu, a použijte zpětné lomítko pro escape první lomítko za názvem domény a další zpětné lomítko pro únik mezer, pokud název vaší skupiny obsahuje mezery (většina vestavěných skupin AD ve výchozím nastavení obsahuje mezery). Také pište oblast velkými písmeny.

To je prozatím vše! Správu Samba4 AD infrastruktury lze také dosáhnout pomocí několika nástrojů z prostředí Windows, jako jsou ADUC, DNS Manager, GPM nebo jiné, které lze získat instalací balíčku RSAT ze stránky stahování společnosti Microsoft.

Chcete-li spravovat Samba4 AD DC prostřednictvím nástrojů RSAT, je naprosto nezbytné připojit systém Windows do Samba4 Active Directory. To bude předmětem našeho dalšího tutoriálu, do té doby zůstaňte naladěni na TecMint.