Cómo administrar la infraestructura publicitaria de Samba4 desde la línea de comandos de Linux - Parte 2

Este tutorial cubrirá algunos comandos diarios básicos que debe usar para administrar Controlador de dominio AD Samba4 Infraestructura, como agregar, eliminar, deshabilitar o enumerar a los usuarios y grupos.

También echaremos un vistazo a cómo administrar la política de seguridad de dominio y cómo vincular a los usuarios de anuncios a la autenticación local de PAM para que los usuarios de anuncios puedan realizar inicios de sesión locales en el controlador de dominio Linux.

Requisitos

1. Cree una infraestructura publicitaria con Samba4 en Ubuntu 16.04 - Parte 1
2. Administre la infraestructura de Samba4 Active Directory desde Windows10 a través de RSAT - Parte 3
3. Administrar DNS y Política de grupo del controlador de dominio de anuncios Samba4 de Windows - Parte 4

Paso 1: Administre Samba AD DC desde la línea de comandos

1. Samba AD DC se puede gestionar a través de samba Utilidad de línea de comandos que ofrece una excelente interfaz para administrar su dominio.

Con la ayuda de la interfaz de la herramienta Samba, puede administrar directamente usuarios y grupos de dominios, política de grupo de dominio, sitios de dominio, servicios DNS, replicación de dominio y otras funciones críticas de dominio.

Para revisar la funcionalidad completa de la herramienta samba, simplemente escriba el comando con privilegios raíz sin ninguna opción o parámetro.

# samba -tool -h 

Samba -Tool: Administrar la herramienta de administración de Samba

2. Ahora, comencemos a usar samba utilidad para administrar Samba4 Active Directory y administrar a nuestros usuarios.

Para crear un usuario en el anuncio, use el siguiente comando:

# El usuario de Samba-Tool agregue su_domain_user 

Para agregar un usuario con varios campos importantes requeridos por AD, use la siguiente sintaxis:

--------- Revise todas las opciones --------- # Usuario de samba-tool agregue -h # user de samba-tool Agregue su_domain_user--Given-Name = Your_Name--Surname = Your_username [Eorglo Proteged] --login-shell =/bin/bash 

Crear usuario en el anuncio de Samba

3. Se puede obtener una lista de todos los usuarios de dominio de anuncios de Samba emitiendo el siguiente comando:

# Lista de usuarios de la herramienta de samba 

Lista de usuarios de anuncios de Samba

4. Para eliminar un usuario de dominio de anuncios de samba Use la siguiente sintaxis:

# El usuario de Samba-Tool Elimine Your_Domain_user 

5. Restablecer una contraseña de usuario de dominio de Samba ejecutando el siguiente comando:

# user de samba-tool setpassword your_domain_user 

6. Para deshabilitar o habilitar una cuenta de usuario del anuncio de Samba, use el siguiente comando:

# El usuario de Samba-Tool deshabilita your_domain_user # Samba-Tool User Habilite Your_Domain_user 

7. Del mismo modo, los grupos Samba se pueden gestionar con la siguiente sintaxis de comando:

--------- Revise todas las opciones --------- # grupo de samba-tool add -h # samba-tool group agrega your_domain_group 

8. Eliminar un grupo de dominio Samba emitiendo el siguiente comando:

# grupo samba-tool eliminar su_domain_group 

9. Para mostrar todos los grupos de dominio de Samba, ejecuten el siguiente comando:

# Lista de grupos de samba-tool 

10. Para enumerar todos los miembros del dominio de Samba en un grupo específico, use el comando:

# Samba-Tool Group listmers "Your_domain Group" 

Lista de miembros del dominio de Samba del grupo

11. Agregar/eliminar a un miembro de un grupo de dominio Samba se puede hacer emitiendo uno de los siguientes comandos:

# Group Samba-Tool AddMembers Your_Domain_Group Your_Domain_user # Samba-Tool Group Eliminar miembros Your_Domain_Group Your_Domain_user 

12. Como se mencionó anteriormente, la interfaz de línea de comandos de samba-tool también se puede utilizar para administrar su política y seguridad de dominio de Samba.

Para revisar la configuración de contraseña de su dominio samba, use el siguiente comando:

# Show Show Samba-Tool Domain PasswordSettings 

Verifique la contraseña del dominio de Samba

13. Para modificar la política de contraseña de dominio de Samba, como el nivel de complejidad de la contraseña, el envejecimiento de la contraseña, la longitud, cuántas contraseñas antiguas para recordar y otras características de seguridad necesarias para un controlador de dominio, use la siguiente captura de pantalla como guía.

---------- Enumere todas las opciones de comando ---------- # Samba -Tool Domain PasswordSettings -H 

Administrar configuración de contraseña de dominio de Samba

Nunca use las reglas de la política de contraseña como se ilustra anteriormente en un entorno de producción. La configuración anterior se usa solo para fines de demostración.

Paso 2: Autenticación local de Samba utilizando cuentas de Active Directory

14. Por defecto, los usuarios de anuncios no pueden realizar inicios de sesión locales en el sistema Linux afuera Samba AD DC ambiente.

Para iniciar sesión en el sistema con un Directorio Activo Cuenta debe realizar los siguientes cambios en el entorno de su sistema Linux y modificar Samba4 AD DC.

Primero, abra el archivo de configuración principal de Samba y agregue las líneas a continuación, si faltan, como se ilustra en la siguiente captura de pantalla.

$ sudo nano/etc/samba/smb.confusión 

Asegúrese de que las siguientes declaraciones aparezcan en el archivo de configuración:

usuarios de Winbind enum = sí Winbind enum grupos = sí 

Autenticación de Samba utilizando cuentas de usuario de Active Directory

15. Después de haber realizado los cambios, use parque de pruebas Utilidad para asegurarse de que no se encuentren errores en el archivo de configuración de Samba y reinicie Samba Daemons emitiendo el siguiente comando.

$ testparm $ sudo systemctl reiniciar samba-ad-dc.servicio 

Verifique la configuración de Samba para ver los errores

dieciséis. A continuación, necesitamos modificar archivos de configuración de PAM locales para Samba4 Active Directory cuentas para poder autenticar y abrir una sesión en el sistema local y crear un directorio de inicio para los usuarios al principio inicio de sesión.

Utilizar el Pam-Auth-Update Comando para abrir la solicitud de configuración de PAM y asegúrese de habilitar todos los perfiles de PAM usando [espacio] Clave como se ilustra en la siguiente captura de pantalla.

Cuando termina golpeado [Pestaña] clave para moverse a De acuerdo y aplicar cambios.

$ sudo Pam-Auth-Update 

Configurar PAM para AD Samba4 Habilitar el módulo de autenticación de PAM para usuarios de anuncios de Samba4

17. Ahora abierto /etc/nsswitch.confusión archivo con un editor de texto y agregar declaración de winbind Al final de la contraseña y las líneas de grupo como se ilustra en la siguiente captura de pantalla.

$ sudo vi /etc /nsswitch.confusión 

Agregue el interruptor de servicio Windbind para Samba

18. Finalmente, editar /etc/pam.d/pasas comunes archivo, busque la línea a continuación como se ilustra en la siguiente captura de pantalla y elimine el use_authtok declaración.

Esta configuración asegura que los usuarios de Active Directory puedan cambiar su contraseña desde la línea de comando mientras están autenticados en Linux. Con esta configuración, los usuarios de anuncios autenticados localmente en Linux no pueden cambiar su contraseña desde la consola.

contraseña [éxito = 1 default = ignore] pam_winbind.Entonces try_first_pass 

Permitir que los usuarios de anuncios de Samba cambien las contraseñas

Eliminar use_authtok opción Cada vez que las actualizaciones de PAM se instalan y aplican a los módulos PAM o cada vez que ejecuta Pam-Auth-Update dominio.

19. Samba4 Binarios viene con un Winbindd Daemon incorporado y habilitado de forma predeterminada.

Por esta razón, ya no se requiere que habilite y ejecute por separado acariciar demonio proporcionado por acariciar Paquete de repositorios oficiales de Ubuntu.

En caso de que el viejo y desaprobado acariciar El servicio se inicia en el sistema, asegúrese de deshabilitarlo y detener el servicio emitiendo los siguientes comandos:

$ sudo systemctl deshabilitar winbind.Servicio $ sudo SystemCtl Stop Winbind.servicio 

Aunque, ya no necesitamos ejecutar Old Winbind Daemon, aún necesitamos instalar el paquete Winbind desde los repositorios para instalar y usar wbinfo herramienta.

Wbinfo La utilidad se puede utilizar para consultar a los usuarios y grupos de Active Directory desde Winbindd punto de vista del demonio.

Los siguientes comandos ilustran cómo consultar a los usuarios y grupos de anuncios utilizando wbinfo.

$ wbinfo -g $ wbinfo -u $ wbinfo -i your_domain_user 

Consulte la información del anuncio SAMBA4 Consulte la información del usuario del anuncio SAMBA4

20. Aparte de wbinfo utilidad que también puede usar get Utilidad de línea de comandos para consultar la base de datos de Active Directory desde las bibliotecas de conmutación de servicio de nombre que están representadas en /etc/nsswitch.confusión archivo.

Tubo get comandar a través de un grep Filtrar para reducir los resultados con respecto a solo el usuario de su reino o la base de datos de grupo.

# getent passwd | Grep TecMint # Getent Group | Grep Tecmint 

Obtenga detalles del anuncio de Samba4

Paso 3: Inicie sesión en Linux con un usuario de Active Directory

21. Para autenticarse en el sistema con un AD de Samba4 Usuario, solo use el AD de usuario parámetro después SU - dominio.

En el primer inicio de sesión, se mostrará un mensaje en la consola que le notifica que se ha creado un directorio de inicio en /Home/$ Domain/ ruta del sistema con la melena de su nombre de usuario AD.

Usar comando de identificación Para mostrar información adicional sobre el usuario autenticado.

# SU - Your_ad_user $ id $ Salida 

Consulte la autenticación del usuario del anuncio SAMBA4 en Linux

22. Para cambiar la contraseña para un tipo de usuario de AD autenticado comando passwd en consola después de haber iniciado sesión con éxito al sistema.

$ su - your_ad_user $ passwd 

Cambiar la contraseña del usuario del anuncio SAMBA4

23. Por defecto, Directorio Activo Los usuarios no se otorgan con privilegios raíz para realizar tareas administrativas en Linux.

Para otorgar poderes raíz a un usuario de anuncios, debe agregar el nombre de usuario al local sudo Grupo emitiendo el siguiente comando.

Asegúrese de encerrar el reino, barra oblicua y AD de usuario con soltero Ascii citas.

# usermod -ag sudo 'dominio \ your_domain_user' 

Para probar si el usuario de AD tiene privilegios raíz en el sistema local, inicie sesión y ejecute un comando, como Actualización de apt-get, con permisos de sudo.

# SU - TECMINT_USER $ sudo apt -get actualización 

Otorgar permiso de sudo al usuario del anuncio de Samba4

24. En caso de que desee agregar privilegios raíz para todas las cuentas de un grupo de Active Directory, edite /etc/sudoers archivo usando visudo Comando y agregue la línea de abajo después de la línea de privilegios raíz, como se ilustra en la siguiente captura de pantalla:

%Dominio \\ your_domain \ group all = (todos: todos) todos 

Prestar atención a sudoers Sintaxis para que no establezca las cosas.

El archivo de sudoers no maneja muy bien el uso de Ascii comillas, así que asegúrese de usar De % Para denotar que se refiere a un grupo y usa una barra insegura para escapar de la primera barra después del nombre de dominio y otra barra inalcadora para escapar de los espacios si el nombre de su grupo contiene espacios (la mayoría de los grupos incorporados de AD contienen espacios de forma predeterminada). Además, escriba el reino con mayúsculas.

Dar acceso a sudo a todos los usuarios de anuncios de Samba4

Eso es todo por ahora! Administración de AD de Samba4 La infraestructura también se puede lograr con varias herramientas del entorno de Windows, como Aduc, Gerente de DNS, Gpm u otro, que se puede obtener instalando RSAT Paquete de la página de descarga de Microsoft.

Para administrar Samba4 AD DC a través de RSAT utilidades, es absolutamente necesario unirse al sistema de Windows a Samba4 Active Directory. Este será el tema de nuestro próximo tutorial, hasta entonces estén atentos para Tecmenta.