Samba4 AD Altyapısını Linux Komut Satırından Yönetme - Bölüm 2

Bu eğitimde, kullanıcı ve grup ekleme, kaldırma, devre dışı bırakma veya listeleme gibi Samba4 AD Etki Alanı Denetleyicisi altyapısını yönetmek için kullanmanız gereken bazı temel günlük komutlar ele alınacaktır.

Ayrıca, AD kullanıcılarının Linux Etki Alanı Denetleyicisinde yerel oturum açma işlemlerini gerçekleştirebilmesi için etki alanı güvenlik politikasının nasıl yönetileceğine ve AD kullanıcılarının yerel PAM kimlik doğrulamasına nasıl bağlanacağına da göz atacağız.

Gereksinimler

  1. Ubuntu 16.04'te Samba4 ile AD Altyapısı Oluşturun – Bölüm 1
  2. Samba4 Active Directory Altyapısını Windows10'dan RSAT aracılığıyla Yönetme - Bölüm 3
  3. Samba4 AD Etki Alanı Denetleyicisi DNS'sini ve Grup İlkesini Windows'tan Yönetme – Bölüm 4

Adım 1: Samba AD DC'yi Komut Satırından Yönetin

1. Samba AD DC, etki alanınızı yönetmek için harika bir arayüz sunan samba-tool komut satırı yardımcı programı aracılığıyla yönetilebilir.

Samba aracı arayüzünün yardımıyla etki alanı kullanıcılarını ve gruplarını, etki alanı Grup İlkesini, etki alanı sitelerini, DNS hizmetlerini, etki alanı çoğaltmayı ve diğer kritik etki alanı işlevlerini doğrudan yönetebilirsiniz.

Samba-tool'un tüm işlevselliğini gözden geçirmek için, herhangi bir seçenek veya parametre olmaksızın, kök ayrıcalıklarıyla komutu yazmanız yeterlidir.

samba-tool -h

2. Şimdi Samba4 Active Directory'yi yönetmek ve kullanıcılarımızı yönetmek için samba-tool yardımcı programını kullanmaya başlayalım.

AD'de bir kullanıcı oluşturmak için aşağıdaki komutu kullanın:

samba-tool user add your_domain_user

AD'nin gerektirdiği birkaç önemli alana sahip bir kullanıcı eklemek için aşağıdaki sözdizimini kullanın:

--------- review all options --------- 
samba-tool user add -h  
samba-tool user add your_domain_user --given-name=your_name --surname=your_username [email  --login-shell=/bin/bash

3. Aşağıdaki komut çalıştırılarak tüm samba AD etki alanı kullanıcılarının listesi elde edilebilir:

samba-tool user list

4. Bir samba AD etki alanı kullanıcısını silmek için aşağıdaki söz dizimini kullanın:

samba-tool user delete your_domain_user

5. Aşağıdaki komutu yürüterek bir samba etki alanı kullanıcı şifresini sıfırlayın:

samba-tool user setpassword your_domain_user

6. Bir samba AD Kullanıcı hesabını devre dışı bırakmak veya etkinleştirmek için aşağıdaki komutu kullanın:

samba-tool user disable your_domain_user
samba-tool user enable your_domain_user

7. Benzer şekilde, samba grupları aşağıdaki komut söz dizimi ile yönetilebilir:

--------- review all options --------- 
samba-tool group add –h  
samba-tool group add your_domain_group

8. Aşağıdaki komutu vererek bir samba etki alanı grubunu silin:

samba-tool group delete your_domain_group

9. Tüm samba etki alanı gruplarını görüntülemek için aşağıdaki komutu çalıştırın:

samba-tool group list

10. Belirli bir gruptaki tüm samba etki alanı üyelerini listelemek için şu komutu kullanın:

samba-tool group listmembers "your_domain group"

11. Bir samba etki alanı grubuna üye ekleme/çıkarma işlemi, aşağıdaki komutlardan birinin verilmesiyle yapılabilir:

samba-tool group addmembers your_domain_group your_domain_user
samba-tool group remove members your_domain_group your_domain_user

12. Daha önce de belirtildiği gibi, samba-tool komut satırı arayüzü, samba etki alanı politikanızı ve güvenliğinizi yönetmek için de kullanılabilir.

Samba alan adı şifre ayarlarınızı gözden geçirmek için aşağıdaki komutu kullanın:

samba-tool domain passwordsettings show

13. Şifre karmaşıklık düzeyi, şifre eskimesi, uzunluğu, kaç eski şifrenin hatırlanması gerektiği ve bir Etki Alanı Denetleyicisi için gereken diğer güvenlik özellikleri gibi samba alan adı şifre politikasını değiştirmek için aşağıdaki ekran görüntüsünü kullanın. bir rehber.

---------- List all command options ---------- 
samba-tool domain passwordsettings -h

Parola ilkesi kurallarını asla yukarıda gösterildiği gibi bir üretim ortamında kullanmayın. Yukarıdaki ayarlar yalnızca tanıtım amacıyla kullanılmıştır.

Adım 2: Active Directory Hesaplarını Kullanarak Samba Yerel Kimlik Doğrulaması

14. Varsayılan olarak, AD kullanıcıları Linux sisteminde Samba AD DC ortamı dışında yerel oturum açma işlemleri gerçekleştiremez.

Sisteme Active Directory hesabıyla giriş yapabilmek için Linux sistem ortamınızda aşağıdaki değişiklikleri yapmanız ve Samba4 AD DC'de değişiklik yapmanız gerekmektedir.

Öncelikle samba ana konfigürasyon dosyasını açın ve eksikse aşağıdaki satırları aşağıdaki ekran görüntüsünde gösterildiği gibi ekleyin.

sudo nano /etc/samba/smb.conf

Yapılandırma dosyasında aşağıdaki ifadelerin göründüğünden emin olun:

winbind enum users = yes
winbind enum groups = yes

15. Değişiklikleri yaptıktan sonra testparm yardımcı programını kullanarak samba yapılandırma dosyasında hata bulunmadığından emin olun ve aşağıdaki komutu vererek samba arka plan programlarını yeniden başlatın.

testparm
sudo systemctl restart samba-ad-dc.service

16. Daha sonra, Samba4 Active Directory hesaplarının kimliğini doğrulayabilmesi, yerel sistemde bir oturum açabilmesi ve bir ana sayfa oluşturabilmesi için yerel PAM yapılandırma dosyalarını değiştirmemiz gerekiyor ilk girişte kullanıcılar için dizin.

PAM yapılandırma istemini açmak için pam-auth-update komutunu kullanın ve aşağıdaki ekran görüntüsünde gösterildiği gibi [space] tuşunu kullanarak tüm PAM profillerini etkinleştirdiğinizden emin olun.

Bitirdiğinizde Tamam'a geçmek ve değişiklikleri uygulamak için [Tab] tuşuna basın.

sudo pam-auth-update

17. Şimdi /etc/nsswitch.conf dosyasını bir metin düzenleyiciyle açın ve şifrenin ve grup satırlarının sonuna winbind ifadesini ekleyin aşağıdaki ekran görüntüsünde gösterildiği gibi.

sudo vi /etc/nsswitch.conf

18. Son olarak /etc/pam.d/common-password dosyasını düzenleyin, aşağıdaki ekran görüntüsünde gösterildiği gibi aşağıdaki satırı arayın ve use_authtok<'u kaldırın. ifadesi.

Bu ayar, Active Directory kullanıcılarının Linux'ta kimlik doğrulaması yapılırken parolalarını komut satırından değiştirebilmelerini sağlar. Bu ayar açıkken, Linux'ta yerel olarak kimlik doğrulaması yapılan AD kullanıcıları parolalarını konsoldan değiştiremez.

password       [success=1 default=ignore]      pam_winbind.so try_first_pass

PAM güncellemeleri her yüklendiğinde ve PAM modüllerine uygulandığında veya pam-auth-update komutunu her çalıştırdığınızda use_authtok seçeneğini kaldırın.

19. Samba4 ikili dosyaları yerleşik bir winbindd arka plan programıyla birlikte gelir ve varsayılan olarak etkindir.

Bu nedenle, artık winbind paketi tarafından sağlanan winbind arka plan programını resmi Ubuntu depolarından ayrıca etkinleştirmeniz ve çalıştırmanız gerekmiyor.

Sistemde eski ve kullanımdan kaldırılmış winbind hizmetinin başlatılması durumunda, onu devre dışı bıraktığınızdan ve aşağıdaki komutları vererek hizmeti durdurduğunuzdan emin olun:

sudo systemctl disable winbind.service
sudo systemctl stop winbind.service

Her ne kadar artık eski winbind arka plan programını çalıştırmamıza gerek olmasa da, wbinfo aracını kurup kullanabilmek için yine de depolardan Winbind paketini kurmamız gerekiyor.

Wbinfo yardımcı programı, Active Directory kullanıcılarını ve gruplarını winbindd arka plan programı bakış açısından sorgulamak için kullanılabilir.

Aşağıdaki komutlar, wbinfo kullanılarak AD kullanıcılarının ve gruplarının nasıl sorgulanacağını gösterir.

wbinfo -g
wbinfo -u
wbinfo -i your_domain_user

20. wbinfo yardımcı programının yanı sıra getent komut satırı yardımcı programını da <'de temsil edilen Ad Hizmeti Anahtar kitaplıklarından Active Directory veritabanını sorgulamak için kullanabilirsiniz. Strong>/etc/nsswitch.conf dosyası.

Yalnızca AD bölgesi kullanıcı veya grup veritabanınıza ilişkin sonuçları daraltmak için getent komutunu bir grep filtresi aracılığıyla yönlendirin.

getent passwd | grep TECMINT
getent group | grep TECMINT

Adım 3: Linux'ta Active Directory Kullanıcısıyla Oturum Açın

21. Sistemde bir Samba4 AD kullanıcısı ile kimlik doğrulaması yapmak için, su -AD kullanıcı adı parametresini kullanmanız yeterlidir. kod > komut.

İlk oturum açışınızda konsolda, /home/$DOMAIN/ sistem yolunda AD kullanıcı adınızın bulunduğu bir ana dizinin oluşturulduğunu bildiren bir mesaj görüntülenecektir.

Kimliği doğrulanmış kullanıcı hakkında ek bilgi görüntülemek için id komutunu kullanın.

su - your_ad_user
id
exit

22. Kimliği doğrulanmış bir AD kullanıcısının şifresini değiştirmek için, sisteme başarıyla giriş yaptıktan sonra konsola passwd komutunu yazın.

su - your_ad_user
passwd

23. Varsayılan olarak, Active Directory kullanıcılarına Linux'ta yönetim görevlerini gerçekleştirmeleri için kök ayrıcalıkları verilmemektedir.

Bir AD kullanıcısına kök yetkileri vermek için aşağıdaki komutu vererek kullanıcı adını yerel sudo grubuna eklemelisiniz.

Bölge, eğik çizgi ve AD kullanıcı adını tek ASCII tırnak işaretleri içine aldığınızdan emin olun.

usermod -aG sudo 'DOMAIN\your_domain_user'

AD kullanıcısının yerel sistemde kök ayrıcalıklarına sahip olup olmadığını test etmek için oturum açın ve apt-get update gibi bir komutu sudo izinleriyle çalıştırın.

su - tecmint_user
sudo apt-get update

24. Bir Active Directory grubunun tüm hesapları için kök ayrıcalıkları eklemek istiyorsanız, visudo komutunu kullanarak /etc/sudoers dosyasını düzenleyin ve Aşağıdaki ekran görüntüsünde gösterildiği gibi, kök ayrıcalıkları satırından sonra aşağıdaki satırı ekleyin:

%DOMAIN\\your_domain\  group ALL=(ALL:ALL) ALL

Bir şeyleri bozmamak için sudoers sözdizimine dikkat edin.

Sudoers dosyası, ASCII tırnak işaretlerinin kullanımını pek iyi karşılamaz; bu nedenle, bir gruba atıfta bulunduğunuzu belirtmek için % kullandığınızdan ve ters eğik çizgi kullandığınızdan emin olun. Grup adınız boşluk içeriyorsa, alan adından sonraki ilk eğik çizgiden ve başka bir ters eğik çizgiden kaçının (AD yerleşik gruplarının çoğu varsayılan olarak boşluk içerir). Ayrıca bölgeyi büyük harflerle yazın.

Şimdilik bu kadar! Samba4 AD altyapısının yönetilmesi, Windows ortamındaki ADUC, DNS Yöneticisi, GPM gibi çeşitli araçlarla da gerçekleştirilebilir. veya Microsoft indirme sayfasından RSAT paketini yükleyerek edinebileceğiniz başka bir dosya.

Samba4 AD DC'yi RSAT yardımcı programları aracılığıyla yönetmek için, Windows sistemini Samba4 Active Directory'ye katmak kesinlikle gereklidir. Bu bir sonraki eğitimimizin konusu olacak, o zamana kadar TecMint'i takip etmeye devam edin.