- User and Group and Computer accountd management with samba-tool
- samba-tool: Delete Users from Samba Active Directory
- samba-tool: create a group in Samba Active Directory
- samba-tool: create a Unix group in Samba Active Directory
- samba-tool: delete a group from Samba Active Directory
- samba-tool: add members to a group in Samba Active Directory
- samba-tool: remove members from a group in Samba Active Directory
- samba-tool: list members of a group in Samba Active Directory
- samba-tool: Create a user, create a group, add the user to the group in Samba Active Directory
- Как управлять инфраструктурой Samba4 AD из командной строки Linux — часть 2
- Требования
- Шаг 1. Управляйте Samba AD DC из командной строки
- Шаг 2. Локальная аутентификация Samba с использованием учетных записей Active Directory
- Шаг 3: Войдите в Linux с помощью пользователя Active Directory
User and Group and Computer accountd management with samba-tool
Unlike Samba 3, running Samba 4 as an AD DC or Unix AD domain member does not require a local Unix user for each Samba user that is created.
An example of adding a User + Login Profile for the user fbaggins
This assumes that ADSMember is being used as a Unix Member server that stores the profile and shares and the new users password will be P4ssw0rd*
$ samba-tool user create fbaggins P4ssw0rd* --use-username-as-cn --surname="Baggins" --given-name="Frodo" --initials=S --mail-address=fbaggins@samdom.example.com --company="Hobbiton Inc." --script-path=shire.bat --profile-path=\\\\ADSMember.samdom.example.com\\profiles\\fbaggins --home-drive=F --home-directory=\\\\ADSMember.samdom.example.com\\fbaggins --job-title="Goes there and back again"
You do not need to supply all of the above options when creating a new user. For details of available options, run samba-tool user create —help in a terminal. |
To inspect the allocated user ID and SID, use the following commands:
$ wbinfo --name-to-sid USERNAME S-1-5-21-4036476082-4153129556-3089177936-1005 SID_USER (1) $ wbinfo --sid-to-uid S-1-5-21-4036476082-4153129556-3089177936-1005 3000011
samba-tool: Delete Users from Samba Active Directory
# samba-tool user delete username
samba-tool: create a group in Samba Active Directory
~# samba-tool group add groupname Added group groupname
samba-tool: create a Unix group in Samba Active Directory
~# samba-tool group add groupname --nis-domain=samdom --gid-number= Added group groupname
samba-tool: delete a group from Samba Active Directory
~# samba-tool group delete groupname Added group groupname
samba-tool: add members to a group in Samba Active Directory
~# samba-tool group addmembers "Domain Users" user[,otheruser[,thirduser[. ]]] Added members to group Domain Users
samba-tool: remove members from a group in Samba Active Directory
~# samba-tool group removemembers "Domain Users" user[,otheruser[,thirduser[. ]]] Removed members from group Domain Users
samba-tool: list members of a group in Samba Active Directory
~# samba-tool group listmembers "Domain Users" | grep username user
samba-tool: Create a user, create a group, add the user to the group in Samba Active Directory
~# samba-tool user create username User 'username' created successfully ~# samba-tool group add groupname Added group groupname ~# samba-tool group addmembers groupname username Added members to group groupname
Как управлять инфраструктурой Samba4 AD из командной строки Linux — часть 2
В этом руководстве рассматриваются некоторые основные ежедневные команды, которые вам необходимо использовать для управления инфраструктурой Samba4 AD Domain Controller, такие как добавление, удаление, отключение или перечисление пользователей и групп.
Мы также рассмотрим, как управлять политикой безопасности домена и как привязать пользователей AD к локальной аутентификации PAM, чтобы пользователи AD могли выполнять локальный вход в систему на контроллере домена Linux.
Требования
- Создание инфраструктуры AD с помощью Samba4 в Ubuntu 16.04 — часть 1
- Управление инфраструктурой Samba4 Active Directory из Windows10 через RSAT — часть 3
- Управление DNS и групповой политикой контроллера домена Samba4 AD из Windows — часть 4
Шаг 1. Управляйте Samba AD DC из командной строки
1. Samba AD DC можно управлять с помощью утилиты командной строки samba-tool, которая предлагает отличный интерфейс для администрирования вашего домена.
С помощью интерфейса samba-tool вы можете напрямую управлять пользователями и группами домена, групповой политикой домена, сайтами домена, службами DNS, репликацией домена и другими важными функциями домена.
Чтобы просмотреть всю функциональность samba-tool, просто введите команду с привилегиями root без каких-либо опций или параметров.
2. Теперь давайте начнем использовать утилиту samba-tool для администрирования Samba4 Active Directory и управления нашими пользователями.
Чтобы создать пользователя в AD, используйте следующую команду:
# samba-tool user add your_domain_user
Чтобы добавить пользователя с несколькими важными полями, требуемыми AD, используйте следующий синтаксис:
--------- review all options --------- # samba-tool user add -h # samba-tool user add your_domain_user --given-name=your_name --surname=your_username --login-shell=/bin/bash
3. Список всех пользователей домена Samba AD можно получить, выполнив следующую команду:
4. Чтобы удалить пользователя домена Samba AD, используйте следующий синтаксис:
# samba-tool user delete your_domain_user
5. Сбросьте пароль пользователя домена samba, выполнив следующую команду:
# samba-tool user setpassword your_domain_user
6. Чтобы отключить или включить учетную запись пользователя Samba AD, используйте следующую команду:
# samba-tool user disable your_domain_user # samba-tool user enable your_domain_user
7. Аналогично, группами samba можно управлять с помощью следующего синтаксиса команды:
--------- review all options --------- # samba-tool group add –h # samba-tool group add your_domain_group
8. Удалите группу домена samba, выполнив следующую команду:
# samba-tool group delete your_domain_group
9. Чтобы отобразить все группы домена samba, выполните следующую команду:
10. Чтобы вывести список всех членов домена samba в определенной группе, используйте команду:
# samba-tool group listmembers "your_domain group"
11. Добавление/удаление участника из группы домена samba может быть выполнено с помощью одной из следующих команд:
# samba-tool group addmembers your_domain_group your_domain_user # samba-tool group remove members your_domain_group your_domain_user
12. Как упоминалось ранее, интерфейс командной строки samba-tool также можно использовать для управления политикой и безопасностью домена samba.
Чтобы просмотреть настройки пароля домена samba, используйте следующую команду:
# samba-tool domain passwordsettings show
13. Чтобы изменить политику паролей домена samba, например, уровень сложности пароля, срок действия пароля, длину, количество старых паролей, которые нужно помнить, и другие функции безопасности, необходимые для контроллера домена, используйте приведенный ниже снимок экрана, как Руководство.
---------- List all command options ---------- # samba-tool domain passwordsettings -h
Никогда не используйте правила политики паролей, как показано выше, в производственной среде. Приведенные выше настройки используются только в демонстрационных целях.
Шаг 2. Локальная аутентификация Samba с использованием учетных записей Active Directory
14. По умолчанию пользователи AD не могут выполнять локальный вход в систему Linux вне среды Samba AD DC.
Чтобы войти в систему с учетной записью Active Directory, вам необходимо внести следующие изменения в системную среду Linux и изменить Samba4 AD DC.
Сначала откройте основной файл конфигурации samba и добавьте следующие строки, если они отсутствуют, как показано на снимке экрана ниже.
$ sudo nano /etc/samba/smb.conf
Убедитесь, что в файле конфигурации присутствуют следующие операторы:
winbind enum users = yes winbind enum groups = yes
15. После внесения изменений используйте утилиту testparm, чтобы убедиться, что в файле конфигурации samba не обнаружено ошибок, и перезапустите демоны samba, введя следующую команду.
$ testparm $ sudo systemctl restart samba-ad-dc.service
16. Далее нам нужно изменить локальные файлы конфигурации PAM, чтобы учетные записи Samba4 Active Directory могли пройти аутентификацию и открыть сеанс в локальной системе, а также создать домашнюю учетную запись. каталог для пользователей при первом входе в систему.
Используйте команду pam-auth-update, чтобы открыть окно настройки PAM и убедитесь, что вы включили все профили PAM с помощью клавиши [пробел] , как показано на снимке экрана ниже.
Когда закончите, нажмите клавишу [Tab] , чтобы перейти к ОК и применить изменения.
17. Теперь откройте файл /etc/nsswitch.conf в текстовом редакторе и добавьте оператор winbind в конце строк пароля и группы. как показано на скриншоте ниже.
18. Наконец, отредактируйте файл /etc/pam.d/common-password, найдите строку ниже, как показано на снимке экрана ниже, и удалите use_authtok заявление.
Этот параметр гарантирует, что пользователи Active Directory могут изменить свой пароль из командной строки при аутентификации в Linux. Если этот параметр включен, пользователи AD, прошедшие локальную проверку подлинности в Linux, не могут изменить свой пароль с консоли.
password [success=1 default=ignore] pam_winbind.so try_first_pass
Удаляйте параметр use_authtok каждый раз, когда обновления PAM устанавливаются и применяются к модулям PAM, или каждый раз, когда вы выполняете команду pam-auth-update.
19. Двоичные файлы Samba4 поставляются со встроенным демоном winbindd, который включен по умолчанию.
По этой причине вам больше не требуется отдельно включать и запускать демон winbind, предоставляемый пакетом winbind из официальных репозиториев Ubuntu.
Если в системе запущена старая и устаревшая служба winbind, обязательно отключите ее и остановите службу, выполнив следующие команды:
$ sudo systemctl disable winbind.service $ sudo systemctl stop winbind.service
Хотя нам больше не нужно запускать старый демон winbind, нам все равно нужно установить пакет Winbind из репозиториев, чтобы установить и использовать инструмент wbinfo.
Утилита Wbinfo может использоваться для запроса пользователей и групп Active Directory с точки зрения демона winbindd.
Следующие команды показывают, как запрашивать пользователей и группы AD с помощью wbinfo.
$ wbinfo -g $ wbinfo -u $ wbinfo -i your_domain_user
20. Помимо утилиты wbinfo, вы также можете использовать утилиту командной строки getent для запроса базы данных Active Directory из библиотек переключателей службы имен, которые представлены в /etc/nsswitch.conf.
Передайте команду getent через фильтр grep, чтобы сузить результаты, относящиеся только к вашей пользовательской или групповой базе данных области AD.
# getent passwd | grep TECMINT # getent group | grep TECMINT
Шаг 3: Войдите в Linux с помощью пользователя Active Directory
21. Чтобы аутентифицироваться в системе с пользователем Samba4 AD, просто используйте параметр имя пользователя AD после su — команда.
При первом входе в систему на консоли будет отображаться сообщение, уведомляющее вас о том, что домашний каталог был создан по системному пути /home/$DOMAIN/ с гривой вашего имени пользователя AD.
Используйте команду id, чтобы отобразить дополнительную информацию об аутентифицированном пользователе.
# su - your_ad_user $ id $ exit
22. Чтобы изменить пароль для аутентифицированного пользователя AD, введите команду passwd в консоли после успешного входа в систему.
23. По умолчанию пользователям Active Directory не предоставляются привилегии root для выполнения административных задач в Linux.
Чтобы предоставить полномочия root пользователю AD, вы должны добавить имя пользователя в локальную группу sudo, выполнив приведенную ниже команду.
Не забудьте заключить область, косую черту и имя пользователя AD в одинарные ASCII кавычки.
# usermod -aG sudo 'DOMAIN\your_domain_user'
Чтобы проверить, есть ли у пользователя AD привилегии root в локальной системе, войдите в систему и выполните команду, например apt-get update, с разрешениями sudo.
# su - tecmint_user $ sudo apt-get update
24. Если вы хотите добавить привилегии root для всех учетных записей группы Active Directory, отредактируйте файл /etc/sudoers с помощью команды visudo и добавьте строку ниже после строки привилегий root, как показано на скриншоте ниже:
%DOMAIN\\your_domain\ group ALL=(ALL:ALL) ALL
Обратите внимание на синтаксис sudoers, чтобы ничего не сломать.
Файл Sudoers не очень хорошо обрабатывает использование кавычек ASCII, поэтому убедитесь, что вы используете % , чтобы обозначить, что вы имеете в виду группу, и используйте обратную косую черту, чтобы экранируйте первую косую черту после имени домена и другую обратную косую черту, чтобы экранировать пробелы, если имя вашей группы содержит пробелы (большинство встроенных групп AD содержат пробелы по умолчанию). Кроме того, напишите область заглавными буквами.
Это пока все! Управление инфраструктурой Samba4 AD также может осуществляться с помощью нескольких инструментов из среды Windows, таких как ADUC, DNS Manager, GPM . или другой, который можно получить, установив пакет RSAT со страницы загрузки Microsoft.
Для администрирования Samba4 AD DC с помощью утилит RSAT абсолютно необходимо подключить систему Windows к Samba4 Active Directory. Это будет предметом нашего следующего руководства, а пока следите за новостями TecMint.