Com gestionar la infraestructura Samba4 AD des de la línia d'ordres de Linux - Part 2


Aquest tutorial tractarà algunes ordres diàries bàsiques que necessiteu utilitzar per gestionar la infraestructura del controlador de domini Samba4 AD, com ara afegir, eliminar, desactivar o llistar usuaris i grups.

També veurem com gestionar la política de seguretat del domini i com vincular els usuaris d'AD a l'autenticació PAM local per tal que els usuaris d'AD puguin realitzar inicis de sessió locals al controlador de domini de Linux.

  1. Creeu una infraestructura AD amb Samba4 a Ubuntu 16.04 - Part 1
  2. Gestioneu la infraestructura de Samba4 Active Directory des de Windows10 mitjançant RSAT - Part 3
  3. Gestioneu el DNS i la política de grup del controlador de domini Samba4 AD des de Windows - Part 4

Pas 1: Gestioneu Samba AD DC des de la línia d'ordres

1. Samba AD DC es pot gestionar mitjançant la utilitat de línia d'ordres de samba-tool que ofereix una interfície fantàstica per administrar el vostre domini.

Amb l'ajuda de la interfície de l'eina samba, podeu gestionar directament usuaris i grups de domini, política de grup de domini, llocs de domini, serveis DNS, replicació de domini i altres funcions crítiques de domini.

Per revisar tota la funcionalitat de samba-tool només cal que escriviu l'ordre amb privilegis de root sense cap opció o paràmetre.

# samba-tool -h

2. Ara, comencem a utilitzar la utilitat samba-tool per administrar Samba4 Active Directory i gestionar els nostres usuaris.

Per crear un usuari a AD, utilitzeu l'ordre següent:

# samba-tool user add your_domain_user

Per afegir un usuari amb diversos camps importants requerits per AD, utilitzeu la sintaxi següent:

--------- review all options --------- 
# samba-tool user add -h  
# samba-tool user add your_domain_user --given-name=your_name --surname=your_username [email  --login-shell=/bin/bash

3. Es pot obtenir una llista de tots els usuaris del domini Samba AD emetent l'ordre següent:

# samba-tool user list

4. Per suprimir un usuari de domini Samba AD, utilitzeu la sintaxi següent:

# samba-tool user delete your_domain_user

5. Restabliu una contrasenya d'usuari de domini samba executant l'ordre següent:

# samba-tool user setpassword your_domain_user

6. Per desactivar o habilitar un compte d'usuari de samba AD, utilitzeu l'ordre següent:

# samba-tool user disable your_domain_user
# samba-tool user enable your_domain_user

7. De la mateixa manera, els grups de samba es poden gestionar amb la sintaxi d'ordres següent:

--------- review all options --------- 
# samba-tool group add –h  
# samba-tool group add your_domain_group

8. Suprimiu un grup de dominis samba emetent l'ordre següent:

# samba-tool group delete your_domain_group

9. Per mostrar tots els grups de dominis de samba, executeu l'ordre següent:

# samba-tool group list

10. Per llistar tots els membres del domini samba d'un grup específic, utilitzeu l'ordre:

# samba-tool group listmembers "your_domain group"

11. Afegir/eliminar un membre d'un grup de dominis samba es pot fer emetent una de les ordres següents:

# samba-tool group addmembers your_domain_group your_domain_user
# samba-tool group remove members your_domain_group your_domain_user

12. Com s'ha esmentat anteriorment, la interfície de línia d'ordres de samba-tool també es pot utilitzar per gestionar la vostra política i seguretat de domini de samba.

Per revisar la configuració de la contrasenya del domini samba, utilitzeu l'ordre següent:

# samba-tool domain passwordsettings show

13. Per modificar la política de contrasenyes del domini samba, com ara el nivell de complexitat de la contrasenya, l'edat de la contrasenya, la longitud, quantes contrasenyes antigues cal recordar i altres funcions de seguretat necessàries per a un controlador de domini, utilitzeu la captura de pantalla següent com a guia.

---------- List all command options ---------- 
# samba-tool domain passwordsettings -h 

No utilitzeu mai les regles de política de contrasenyes com s'il·lustra més amunt en un entorn de producció. La configuració anterior s'utilitza només amb finalitats de demostració.

Pas 2: autenticació local de Samba mitjançant comptes d'Active Directory

14. De manera predeterminada, els usuaris d'AD no poden realitzar inicis de sessió locals al sistema Linux fora de l'entorn Samba AD DC.

Per iniciar sessió al sistema amb un compte d'Active Directory, heu de fer els canvis següents a l'entorn del vostre sistema Linux i modificar Samba4 AD DC.

Primer, obriu el fitxer de configuració principal de samba i afegiu les línies següents, si falten, tal com es mostra a la captura de pantalla següent.

$ sudo nano /etc/samba/smb.conf

Assegureu-vos que les declaracions següents apareixen al fitxer de configuració:

winbind enum users = yes
winbind enum groups = yes

15. Després d'haver fet els canvis, utilitzeu la utilitat testparm per assegurar-vos que no es troben errors al fitxer de configuració de samba i reinicieu els dimonis de samba emetent l'ordre següent.

$ testparm
$ sudo systemctl restart samba-ad-dc.service

16. A continuació, hem de modificar els fitxers de configuració PAM locals per tal que els comptes de Samba4 Active Directory puguin autenticar i obrir una sessió al sistema local i crear un directori d'inici per als usuaris al primer inici de sessió.

Utilitzeu l'ordre pam-auth-update per obrir l'indicador de configuració de PAM i assegureu-vos d'habilitar tots els perfils PAM mitjançant la tecla [espai] tal com es mostra a la captura de pantalla següent.

Quan hàgiu acabat, premeu la tecla [Tab] per anar a D'acord i aplicar els canvis.

$ sudo pam-auth-update

17. Ara, obriu el fitxer /etc/nsswitch.conf amb un editor de text i afegiu la instrucció winbind al final de la contrasenya i les línies de grup, tal com es mostra a la captura de pantalla següent.

$ sudo vi /etc/nsswitch.conf

18. Finalment, editeu el fitxer /etc/pam.d/common-password, cerqueu la línia de sota tal com es mostra a la captura de pantalla següent i elimineu la instrucció use_authtok.

Aquesta configuració garanteix que els usuaris d'Active Directory puguin canviar la seva contrasenya des de la línia d'ordres mentre s'autentiquen a Linux. Amb aquesta configuració activada, els usuaris d'AD autenticats localment a Linux no poden canviar la seva contrasenya des de la consola.

password       [success=1 default=ignore]      pam_winbind.so try_first_pass

Elimineu l'opció use_authtok cada vegada que s'instal·lin i s'apliquen actualitzacions PAM als mòduls PAM o cada vegada que executeu l'ordre pam-auth-update.

19. Els binaris Samba4 inclouen un dimoni winbindd integrat i activat per defecte.

Per aquest motiu, ja no cal que habiliteu i executeu per separat el dimoni winbind proporcionat pel paquet winbind des dels dipòsits oficials d'Ubuntu.

En cas que el servei winbind antic i obsolet s'iniciï al sistema, assegureu-vos que el desactiveu i que atureu el servei emetent les ordres següents:

$ sudo systemctl disable winbind.service
$ sudo systemctl stop winbind.service

Tot i que ja no necessitem executar el dimoni winbind antic, encara hem d'instal·lar el paquet Winbind des dels dipòsits per instal·lar i utilitzar l'eina wbinfo.

La utilitat Wbinfo es pot utilitzar per consultar usuaris i grups de l'Active Directory des del punt de vista del dimoni winbindd.

Les ordres següents il·lustren com consultar usuaris i grups d'AD mitjançant wbinfo.

$ wbinfo -g
$ wbinfo -u
$ wbinfo -i your_domain_user

20. A part de la utilitat wbinfo, també podeu utilitzar la utilitat de línia d'ordres getent per consultar la base de dades d'Active Directory des de les biblioteques Name Service Switch que es representen al fitxer /etc/nsswitch.conf.

Conduïu l'ordre getent a través d'un filtre grep per reduir els resultats només pel que fa a la vostra base de dades d'usuari o grup d'AD.

# getent passwd | grep TECMINT
# getent group | grep TECMINT

Pas 3: inicieu sessió a Linux amb un usuari d'Active Directory

21. Per autenticar-se al sistema amb un usuari Samba4 AD, només cal que utilitzeu el paràmetre de nom d'usuari AD després de l'ordre su -.

En el primer inici de sessió es mostrarà un missatge a la consola que us notificarà que s'ha creat un directori d'inici a la ruta del sistema /home/$DOMAIN/ amb la mane del vostre nom d'usuari d'AD.

Utilitzeu l'ordre id per mostrar informació addicional sobre l'usuari autenticat.

# su - your_ad_user
$ id
$ exit

22. Per canviar la contrasenya d'un usuari AD autenticat, escriviu l'ordre passwd a la consola després d'haver iniciat sessió correctament al sistema.

$ su - your_ad_user
$ passwd

23. Per defecte, els usuaris d'Active Directory no tenen privilegis d'arrel per dur a terme tasques administratives a Linux.

Per atorgar poders root a un usuari d'AD, heu d'afegir el nom d'usuari al grup sudo local emetent l'ordre següent.

Assegureu-vos d'incloure el regne, la barra inclinada i el nom d'usuari AD amb cometes simples ASCII.

# usermod -aG sudo 'DOMAIN\your_domain_user'

Per provar si l'usuari d'AD té privilegis root al sistema local, inicieu sessió i executeu una ordre, com ara apt-get update, amb permisos sudo.

# su - tecmint_user
$ sudo apt-get update

24. En cas que vulgueu afegir privilegis d'arrel per a tots els comptes d'un grup d'Active Directory, editeu el fitxer /etc/sudoers mitjançant l'ordre visudo i afegiu la línia de sota després de la línia de privilegis d'arrel, tal com es mostra a la captura de pantalla següent:

%DOMAIN\\your_domain\  group ALL=(ALL:ALL) ALL

Pareu atenció a la sintaxi de sudoers perquè no esclatin les coses.

El fitxer Sudoers no gestiona molt bé l'ús de cometes ASCII, així que assegureu-vos d'utilitzar % per indicar que us referiu a un grup i utilitzeu una barra invertida per escapar de la primera barra després del domini. name i una altra barra invertida per escapar dels espais si el nom del vostre grup conté espais (la majoria dels grups integrats d'AD contenen espais per defecte). A més, escriu el regne amb majúscules.

Això és tot per ara! La gestió de la infraestructura Samba4 AD també es pot aconseguir amb diverses eines de l'entorn Windows, com ara ADUC, DNS Manager, GPM o altres, que es poden obtenir instal·lant el paquet RSAT des de la pàgina de descàrrega de Microsoft.

Per administrar Samba4 AD DC mitjançant les utilitats RSAT, és absolutament necessari unir-se al sistema Windows a Samba4 Active Directory. Aquest serà el tema del nostre proper tutorial, fins aleshores estigueu atents a TecMint.