Cara mengelola infrastruktur iklan samba4 dari baris perintah linux - bagian 2
- 3524
- 563
- Dwayne Hackett
Tutorial ini akan mencakup beberapa perintah harian dasar yang perlu Anda gunakan untuk mengelola Pengontrol domain iklan samba4 infrastruktur, seperti menambah, menghapus, menonaktifkan, atau mendaftarkan pengguna dan grup.
Kami juga akan melihat cara mengelola kebijakan keamanan domain dan cara mengikat pengguna iklan ke otentikasi PAM lokal agar pengguna iklan dapat melakukan login lokal pada pengontrol domain linux.
Persyaratan
- Buat infrastruktur iklan dengan Samba4 di Ubuntu 16.04 - Bagian 1
- Kelola infrastruktur Direktori Aktif Samba4 dari Windows10 melalui RSAT - Bagian 3
- Kelola DNS pengontrol Domain AD Samba4 dan Kebijakan Grup dari Windows - Bagian 4
Langkah 1: Kelola Samba Ad Dc dari baris perintah
1. Samba Ad DC dapat dikelola melalui samba-alat utilitas baris perintah yang menawarkan antarmuka yang bagus untuk administrasi domain Anda.
Dengan bantuan antarmuka samba-alat, Anda dapat secara langsung mengelola pengguna dan grup domain, kebijakan grup domain, situs domain, layanan DNS, replikasi domain dan fungsi domain penting lainnya.
Untuk meninjau seluruh fungsionalitas alat samba cukup ketikkan perintah dengan hak akar tanpa opsi atau parameter apa pun.
# samba -tool -hSamba -Tool - Kelola Alat Administrasi Samba
2. Sekarang, mari kita mulai menggunakan samba-alat utilitas untuk dikelola Samba4 Active Directory dan mengelola pengguna kami.
Untuk membuat pengguna di iklan, gunakan perintah berikut:
# Pengguna Samba-Tool Tambahkan your_domain_user
Untuk menambahkan pengguna dengan beberapa bidang penting yang diperlukan oleh AD, gunakan sintaks berikut:
--------- Tinjau semua opsi --------- # SAMBA-TOOL PENGGUNA TAMBAH -H # SAMBA-TOOL PENGGUNA Tambahkan your_domain_user --given-name = your_name --surname = your_username [email dilindungi]--login-shell =/bin/bashBuat pengguna di iklan samba
3. Daftar semua pengguna domain iklan Samba dapat diperoleh dengan mengeluarkan perintah berikut:
Daftar Pengguna # Samba-ToolDaftar pengguna iklan samba
4. Untuk menghapus a pengguna domain iklan samba Gunakan sintaks di bawah ini:
# Samba-Tool User Hapus your_domain_user
5. Atur Ulang Kata Sandi Pengguna Domain Samba dengan mengeksekusi perintah di bawah ini:
# Samba-Tool User SetPassword your_domain_user
6. Untuk menonaktifkan atau mengaktifkan akun pengguna iklan Samba, gunakan perintah di bawah ini:
# Samba-Tool User Nonaktif
7. Demikian juga, kelompok Samba dapat dikelola dengan sintaks perintah berikut:
--------- Tinjau semua opsi --------- # Samba-Tool Group ADD -H # SAMBA-TOOL GROUP Tambahkan your_domain_group
8. Hapus grup domain Samba dengan mengeluarkan perintah di bawah ini:
# Samba-Tool Group Hapus your_domain_group
9. Untuk menampilkan semua grup domain Samba, jalankan perintah berikut:
Daftar Grup Samba-Tool
10. Untuk mendaftar semua anggota domain Samba dalam grup tertentu, gunakan perintah:
# Samba-Tool Group ListMembers "Your_Domain Group"Daftar anggota domain Samba dari grup
11. Menambahkan/menghapus anggota dari grup domain SAMBA dapat dilakukan dengan menerbitkan salah satu perintah berikut:
# Samba-Tool Group AddMembers your_domain_group your_domain_user # Samba-Tool Group Hapus anggota your_domain_group your_domain_user
12. Seperti disebutkan sebelumnya, antarmuka baris perintah samba-alat juga dapat digunakan untuk mengelola kebijakan dan keamanan domain samba Anda.
Untuk meninjau pengaturan Kata Sandi Domain Samba Anda, gunakan perintah di bawah ini:
# Samba-Tool Domain PasswordSettings ShowPeriksa kata sandi domain samba
13. Untuk memodifikasi kebijakan kata sandi domain samba, seperti tingkat kompleksitas kata sandi, penuaan kata sandi, panjang, berapa banyak kata sandi lama yang perlu diingat dan fitur keamanan lain yang diperlukan untuk pengontrol domain menggunakan tangkapan layar di bawah ini sebagai panduan.
---------- Cantumkan semua opsi perintah ---------- # Samba -Tool Domain PasswordSettings -HKelola Pengaturan Kata Sandi Domain Samba
Jangan pernah menggunakan aturan kebijakan kata sandi seperti yang diilustrasikan di atas pada lingkungan produksi. Pengaturan di atas digunakan hanya untuk tujuan demonstrasi.
Langkah 2: Otentikasi Lokal Samba Menggunakan Akun Active Directory
14. Secara default, pengguna iklan tidak dapat melakukan login lokal pada sistem Linux di luar Samba Ad DC lingkungan.
Untuk masuk pada sistem dengan Direktori Aktif Akun Anda perlu membuat perubahan berikut pada lingkungan sistem Linux Anda dan memodifikasi Samba4 Ad DC.
Pertama, buka file konfigurasi utama Samba dan tambahkan baris di bawah ini, jika hilang, seperti yang diilustrasikan pada tangkapan layar di bawah ini.
$ sudo nano/etc/samba/smb.conf
Pastikan pernyataan berikut muncul di file konfigurasi:
winbind enum user = ya winbind enum group = yaOtentikasi Samba Menggunakan Akun Pengguna Direktori Aktif
15. Setelah Anda membuat perubahan, gunakan TestParm utilitas untuk memastikan tidak ada kesalahan yang ditemukan pada file konfigurasi samba dan restart daemon samba dengan menerbitkan perintah di bawah ini.
$ testparm $ sudo systemctl restart samba-ad-dc.melayaniPeriksa konfigurasi samba untuk kesalahan
16. Selanjutnya, kita perlu memodifikasi file konfigurasi PAM lokal agar Samba4 Active Directory akun untuk dapat mengotentikasi dan membuka sesi pada sistem lokal dan membuat direktori home untuk pengguna pada login pertama.
Menggunakan Pam-auth-update Perintah untuk membuka prompt konfigurasi PAM dan pastikan Anda mengaktifkan semua profil PAM menggunakan [ruang angkasa]
kunci seperti yang diilustrasikan pada tangkapan layar di bawah ini.
Setelah selesai memukul [Tab]
kunci untuk pindah ke Oke dan menerapkan perubahan.
$ sudo pam-auth-updateKonfigurasikan PAM untuk iklan Samba4 Aktifkan modul otentikasi PAM untuk pengguna iklan Samba4
17. Sekarang buka /etc/nsswitch.conf file dengan editor teks dan tambahkan Pernyataan WinBind Di akhir kata sandi dan baris grup seperti yang diilustrasikan pada tangkapan layar di bawah ini.
$ sudo vi /etc /nsswitch.confTambahkan Windbind Service Switch untuk samba
18. Akhirnya, edit /etc/pam.D/Common-Password file, cari baris di bawah ini seperti yang diilustrasikan pada tangkapan layar di bawah ini dan hapus use_authtok penyataan.
Pengaturan ini memastikan bahwa pengguna Direktori Aktif dapat mengubah kata sandi mereka dari baris perintah saat diautentikasi di Linux. Dengan pengaturan ini, pengguna iklan yang diautentikasi secara lokal di Linux tidak dapat mengubah kata sandi mereka dari konsol.
kata sandi [Success = 1 default = abaikan] pam_winbind.Jadi coba_first_passIzinkan pengguna iklan samba untuk mengubah kata sandi
Menghapus use_authtok Opsi setiap kali pembaruan PAM diinstal dan diterapkan pada modul PAM atau setiap kali Anda mengeksekusi Pam-auth-update memerintah.
19. Binari Samba4 dilengkapi dengan a WinBindd Daemon built-in dan diaktifkan secara default.
Karena alasan ini Anda tidak lagi diharuskan untuk mengaktifkan dan menjalankan secara terpisah Winbind Daemon disediakan oleh Winbind Paket dari repositori resmi Ubuntu.
Jika lama dan sudah usang Winbind Layanan dimulai pada sistem, pastikan Anda menonaktifkannya dan menghentikan layanan dengan mengeluarkan perintah di bawah ini:
$ sudo systemctl nonaktifkan winbind.Layanan $ Sudo Systemctl Stop Winbind.melayani
Meskipun, kita tidak perlu lagi menjalankan winbind daemon lama, kita masih perlu menginstal paket winbind dari repositori untuk menginstal dan menggunakan wbinfo alat.
Wbinfo Utilitas dapat digunakan untuk menanyakan pengguna dan grup Direktori Aktif WinBindd Sudut pandang daemon.
Perintah berikut menggambarkan cara menanyakan pengguna iklan dan grup menggunakan wbinfo.
$ wbinfo -g $ wbinfo -u $ wbinfo -i your_domain_userPeriksa informasi iklan Samba4 Periksa info pengguna iklan samba4
20. Selain dari wbinfo utilitas yang juga bisa Anda gunakan Getent utilitas baris perintah untuk meminta database Direktori Aktif dari Perpustakaan Saklar Layanan Nama yang diwakili di /etc/nsswitch.conf mengajukan.
Pipa Getent perintah melalui a grep Filter Untuk mempersempit hasil hanya mengenai basis data pengguna iklan atau grup Anda.
# Getent Passwd | Grep Tecmint # Getent Group | Grep TecmintDapatkan detail iklan samba4
Langkah 3: Masuk di Linux dengan Pengguna Direktori Aktif
21. Untuk mengotentikasi sistem dengan a Samba4 iklan pengguna, cukup gunakan Nama pengguna iklan parameter setelahnya su -
memerintah.
Pada login pertama, pesan akan ditampilkan di konsol yang memberi tahu Anda bahwa direktori home telah dibuat /home/$ domain/
jalur sistem dengan surai nama pengguna iklan Anda.
Menggunakan Perintah ID untuk menampilkan informasi tambahan tentang pengguna yang diautentikasi.
# Su - your_ad_user $ id $ EXITPeriksa otentikasi pengguna iklan samba4 di Linux
22. Untuk mengubah kata sandi untuk jenis pengguna iklan yang diautentikasi perintah passwd di konsol setelah Anda berhasil masuk ke dalam sistem.
$ su - your_ad_user $ passwdUbah Kata Sandi Pengguna Iklan Samba4
23. Secara default, Direktori Aktif Pengguna tidak diberikan dengan hak istimewa root untuk melakukan tugas administratif di Linux.
Untuk memberikan kekuatan root kepada pengguna iklan, Anda harus menambahkan nama pengguna ke lokal sudo grup dengan mengeluarkan perintah di bawah ini.
Pastikan Anda melampirkan dunia, memotong Dan Nama pengguna iklan dengan single ASCII kutipan.
# USERMOD -AG sudo 'Domain \ your_domain_user'
Untuk menguji apakah pengguna iklan memiliki hak istimewa pada sistem lokal, login dan jalankan perintah, seperti pembaruan apt-get, dengan izin sudo.
# su - tecmint_user $ sudo apt -get updateMemberikan izin sudo kepada pengguna iklan samba4
24. Jika Anda ingin menambahkan hak istimewa root untuk semua akun grup Direktori Aktif, Edit /etc/sudoers file menggunakan Visudo Perintah dan tambahkan baris di bawah ini setelah baris hak istimewa root, seperti yang diilustrasikan pada tangkapan layar di bawah ini:
%Domain \\ your_domain \ group all = (all: all) all
Perhatikan sudoers sintaks sehingga Anda tidak memecahkan sesuatu.
File sudoers tidak menangani dengan baik penggunaannya ASCII tanda kutip, jadi pastikan Anda menggunakan %
untuk menunjukkan bahwa Anda mengacu pada grup dan menggunakan backslash untuk melarikan diri dari slash pertama setelah nama domain dan backslash lain untuk melarikan diri dari spasi jika nama grup Anda berisi spasi (sebagian besar grup bawaan iklan berisi spasi secara default). Juga, tulis ranah dengan huruf besar.
Itu saja untuk saat ini! Mengelola iklan samba4 Infrastruktur juga dapat dicapai dengan beberapa alat dari lingkungan Windows, seperti Aduc, Manajer DNS, GPM atau lainnya, yang dapat diperoleh dengan memasang RSAT Paket dari halaman unduhan Microsoft.
Untuk mengelola SAMBA4 AD DC melalui RSAT utilitas, benar -benar perlu untuk bergabung dengan sistem windows ke Samba4 Active Directory. Ini akan menjadi subjek tutorial kami berikutnya, sampai saat itu tetap mengikuti Tecmint.
- « Kelola DNS pengontrol Domain AD Samba4 dan Kebijakan Grup dari Windows - Bagian 4
- Kelola infrastruktur Direktori Aktif Samba4 dari Windows10 melalui RSAT - Bagian 3 »