Samba4 Active Directory

Como gerenciar a infraestrutura de anúncios Samba4 da linha de comando Linux - Parte 2

Como gerenciar a infraestrutura de anúncios Samba4 da linha de comando Linux - Parte 2

Este tutorial abordará alguns comandos diários básicos que você precisa usar para gerenciar Controlador de domínio samba4 anúncio Infraestrutura, como adicionar, remover, desativar ou listar usuários e grupos.

Também vamos dar uma olhada em como gerenciar a política de segurança do domínio e como vincular usuários de anúncios à autenticação local do PAM para que os usuários do anúncio possam executar logins locais no controlador de domínio Linux.

Requisitos

  1. Crie uma infraestrutura de anúncios com Samba4 no Ubuntu 16.04 - Parte 1
  2. Gerenciar infraestrutura do Samba4 Active Directory do Windows10 via RSAT - Parte 3
  3. Gerencie o Samba4 AD Domin Controller DNS e a política de grupo do Windows - Parte 4

Etapa 1: Gerencie o samba ad DC da linha de comando

1. Samba ad dc pode ser gerenciado através samba-tool Utilitário de linha de comando que oferece uma ótima interface para administrar seu domínio.

Com a ajuda da interface samba-tool, você pode gerenciar diretamente usuários e grupos de domínio, políticas de grupo de domínio, sites de domínio, serviços DNS, replicação de domínio e outras funções de domínio crítico.

Para revisar toda a funcionalidade do samba-tool, basta digitar o comando com privilégios root sem qualquer opção ou parâmetro.

# samba -tool -h
Samba -tool - Gerencie a ferramenta de administração Samba

2. Agora, vamos começar a usar samba-tool utilidade para administrar Samba4 Active Directory e gerenciar nossos usuários.

Para criar um usuário no anúncio, use o seguinte comando:

# Samba-tool Usuário Adicione Your_Domain_User

Para adicionar um usuário com vários campos importantes exigidos pelo anúncio, use a seguinte sintaxe:

--------- Revise todas as opções --------- # Samba-tool Usuário Adicionar -h # Samba-tool Usuário Adicione Your_Domain_User--name-name = your_name--surname = your_username [email protegido] ---login-shell =/bin/bash
Crie usuário no samba anúncio

3. Uma listagem de todos os usuários do Samba Ad Domain pode ser obtida emitindo o seguinte comando:

# Lista de usuários Samba-tool
Listar usuários de anúncios samba

4. Para excluir um Usuário de domínio do anúncio samba Use a sintaxe abaixo:

# usuário samba-tool exclua seu_domain_user

5. Redefina uma senha do usuário do domínio Samba executando o comando abaixo:

# Samba-tool User SetPassword Your_Domain_User

6. Para desativar ou habilitar uma conta de usuário do Samba AD, use o comando abaixo:

# Samba-tool User desative Your_Domain_User # Samba-tool User Habille Your_Domain_User

7. Da mesma forma, os grupos samba podem ser gerenciados com a seguinte sintaxe de comando:

--------- Revise todas as opções --------- # grupo samba-tool add -h # samba-tool grupo adicione your_domain_group

8. Exclua um grupo de domínio Samba emitindo o comando abaixo:

# Grupo Samba-Tool Excluir Your_Domain_Group

9. Para exibir todos os grupos de domínio Samba executam o seguinte comando:

# Lista de grupos de tool samba

10. Para listar todos os membros do domínio Samba em um grupo específico, use o comando:

# Samba-tool Group ListMembers "Your_Domain Group"
Listar os membros do domínio samba do grupo

11. Adicionar/remover um membro de um grupo de domínio Samba pode ser feito emitindo um dos seguintes comandos:

# Grupo Samba-Tool AddMembers Your_Domain_Group Your_Domain_User # Grupo Samba-tool Remover membros Your_Domain_Group Your_Domain_User

12. Como mencionado anteriormente, a interface da linha de comando samba-tool também pode ser usada para gerenciar sua política e segurança do domínio samba.

Para revisar as configurações de senha do domínio Samba, use o comando abaixo:

# samba-tool domain senha settings mostram
Verifique senha do domínio samba

13. Para modificar a política de senha do domínio samba, como o nível de complexidade da senha, envelhecimento de senha, comprimento, quantas senha antiga lembrar e outros recursos de segurança necessários para um controlador de domínio, use a captura de tela abaixo como um guia.

---------- Liste todas as opções de comando ---------- # samba -tool domain senha -settings -h
Gerenciar configurações de senha do domínio samba

Nunca use as regras da política de senha, conforme ilustrado acima em um ambiente de produção. As configurações acima são usadas apenas para fins de demonstração.

Etapa 2: Samba Autenticação local usando contas do Active Directory

14. Por padrão, os usuários de anúncios não podem executar logins locais no sistema Linux fora Samba ad dc ambiente.

Para fazer login no sistema com um Active Directory conta que você precisa fazer as seguintes alterações no ambiente do sistema Linux e modificar o samba4 anúncio dc.

Primeiro, abra o arquivo de configuração principal do samba e adicione as linhas abaixo, se ausentes, como ilustrado na captura de tela abaixo.

$ sudo nano/etc/samba/smb.conf

Verifique se as instruções a seguir aparecem no arquivo de configuração:

Usuários de enum winbind = sim winbind enum grupos = sim
Autenticação Samba usando contas de usuário do Active Directory

15. Depois de fazer as mudanças, use teste Utilitário para garantir que nenhum erro seja encontrado no arquivo de configuração do Samba e reinicie o Samba Daemons, emitindo o comando abaixo.

$ testParm $ sudo systemctl reiniciar samba-ad-dc.serviço
Verifique a configuração do Samba para obter erros

16. Em seguida, precisamos modificar os arquivos de configuração do PAM local para Samba4 Active Directory Contas para poder autenticar e abrir uma sessão no sistema local e criar um diretório doméstico para usuários no primeiro login.

Use o pam-auth-update comando para abrir o prompt de configuração do PAM e certifique -se de ativar todos os perfis de PAM usando [espaço] chave como ilustrado na captura de tela abaixo.

Quando terminado acertar [Aba] chave para se mudar para OK e aplique alterações.

$ sudo pam-auth-update
Configurar Pam para samba4 anúncio Ativar módulo de autenticação PAM para usuários de anúncios samba4

17. Agora, aberto /etc/nsswitch.conf arquivo com um editor de texto e adicione Declaração de Winbind No final da senha e linhas de grupo, conforme ilustrado na captura de tela abaixo.

$ sudo vi /etc /nsswitch.conf
Adicionar interruptor de serviço do Windbind para samba

18. Finalmente, edite /etc/pam.D/Pass-Password Arquivo, procure a linha abaixo, conforme ilustrado na captura de tela abaixo e remova o use_authtok declaração.

Essa configuração garante que os usuários do Active Directory possam alterar sua senha da linha de comando enquanto autenticados no Linux. Com essa configuração, os usuários de anúncios autenticados localmente no Linux não podem alterar sua senha do console.

Senha [sucesso = 1 padrão = ignorar] pam_winbind.Então, tente_first_pass
Permitir que os usuários de anúncios do samba alterem senhas

Remover use_authtok opção cada vez que as atualizações de PAM são instaladas e aplicadas aos módulos PAM ou cada vez que você executa pam-auth-update comando.

19. Binários samba4 vêm com um WinBindd Daemon embutido e ativado por padrão.

Por esse motivo, você não é mais necessário para ativar e executar separadamente Winbind Daemon fornecido por Winbind Pacote de repositórios oficiais do Ubuntu.

Caso o antigo e o depreciado Winbind O serviço é iniciado no sistema, certifique -se de desativá -lo e interromper o serviço emitindo os comandos abaixo:

$ sudo systemctl desativar winbind.Serviço $ sudo systemctl pare winbind.serviço

Embora não precisemos mais executar o antigo daemon WinBind, ainda precisamos instalar o pacote WinBind a partir de repositórios para instalar e usar wbinfo ferramenta.

Wbinfo utilitário pode ser usado para consultar usuários e grupos do Active Directory de WinBindd ponto de vista daemon.

Os seguintes comandos ilustram como consultar usuários e grupos de anúncios usando wbinfo.

$ wbinfo -g $ wbinfo -u $ wbinfo -i your_domain_user
Verifique as informações do anúncio samba4 Verifique as informações do usuário do anúncio samba4

20. Além de wbinfo Utilitário que você também pode usar getent Utilitário de linha de comando para consultar o banco de dados do Active Directory a partir de bibliotecas de troca de serviço de nome que são representadas em /etc/nsswitch.conf arquivo.

Cano getent comando através de um grep filtre para restringir os resultados sobre apenas o usuário de usuário ou banco de dados de grupo de anúncios.

# getent passwd | GRUPO GREP TECMINT # GETENT | Grep Tecmint
Obtenha detalhes do anúncio samba4

Etapa 3: Faça login no Linux com um usuário do Active Directory

21. Para se autenticar no sistema com um Samba4 anúncio Usuário, basta usar o Nome de usuário parâmetro depois su - comando.

No primeiro login, uma mensagem será exibida no console que notifica que um diretório doméstico foi criado /home/$ domain/ Caminho do sistema com a juba do seu nome de usuário de anúncios.

Usar comando id Para exibir informações extras sobre o usuário autenticado.

# su - your_ad_user $ id $ sai
Verifique a autenticação do usuário do samba4 anúncio no Linux

22. Para alterar a senha para um tipo de usuário de anúncios autenticado comando passwd no console depois que você entrou com sucesso no sistema.

$ su - your_ad_user $ passwd
Alterar senha do usuário do anúncio samba4

23. Por padrão, Active Directory Os usuários não recebem privilégios de raiz para executar tarefas administrativas no Linux.

Para conceder poderes raiz a um usuário do anúncio, você deve adicionar o nome de usuário ao local sudo grupo emitindo o comando abaixo.

Certifique -se de incluir o reino, golpear e Nome de usuário com solteiro ASCII citações.

# UserMod -AG sudo 'domínio \ your_domain_user'

Para testar se o usuário do anúncio possui privilégios root no sistema local, login e execute um comando, como Atualização APT-Get, com permissões sudo.

# su - tecmint_user $ sudo apt -get update
Conceda permissão do Sudo para Samba4 AD Usuário

24. Caso você queira adicionar privilégios root para todas as contas de um grupo do Active Directory, editar /etc/sudoers arquivo usando Visudo Comando e adicione a linha abaixo após a linha de privilégios root, conforme ilustrado na captura de tela abaixo:

%Domain \\ your_domain \ Group all = (todos: todos) todos

Prestar atenção em sudoers Sintaxe para que você não quebre as coisas.

O arquivo sudoers não lida muito bem com o uso de ASCII aspas, então certifique -se de usar % Para denotar que você está se referindo a um grupo e use uma barra de barra para escapar da primeira barra após o nome do domínio e outra barra de barra para escapar dos espaços se o nome do seu grupo contiver espaços (a maioria dos grupos internos de anúncios contém espaços por padrão). Além disso, escreva o reino com uppercaeses.

Dê ao sudo acesso a todos os usuários de anúncios samba4

É tudo por agora! Gerenciando samba4 anúncio A infraestrutura também pode ser alcançada com várias ferramentas do ambiente do Windows, como Aduc, Gerente de DNS, GPM ou outro, que pode ser obtido com a instalação Rsat Pacote da página de download da Microsoft.

Administrar Samba4 anúncio dc através Rsat utilitários, é absolutamente necessário entrar no sistema Windows em Samba4 Active Directory. Este será o assunto do nosso próximo tutorial, até então ficará atento a Tecmint.