Website-Suche

So verwalten Sie die Samba4 AD-Infrastruktur über die Linux-Befehlszeile – Teil 2

In diesem Tutorial werden einige grundlegende tägliche Befehle behandelt, die Sie zum Verwalten der Samba4 AD Domain Controller-Infrastruktur verwenden müssen, z. B. das Hinzufügen, Entfernen, Deaktivieren oder Auflisten von Benutzern und Gruppen.

Wir werfen auch einen Blick darauf, wie man Domänensicherheitsrichtlinien verwaltet und AD-Benutzer an die lokale PAM-Authentifizierung bindet, damit AD-Benutzer lokale Anmeldungen am Linux-Domänencontroller durchführen können.

Anforderungen

  1. Erstellen Sie eine AD-Infrastruktur mit Samba4 unter Ubuntu 16.04 – Teil 1
  2. Verwalten Sie die Samba4 Active Directory-Infrastruktur von Windows 10 über RSAT – Teil 3
  3. Verwalten Sie die DNS- und Gruppenrichtlinien des Samba4 AD-Domänencontrollers unter Windows – Teil 4

Schritt 1: Samba AD DC über die Befehlszeile verwalten

1. Samba AD DC kann über das Befehlszeilendienstprogramm samba-tool verwaltet werden, das eine hervorragende Schnittstelle zur Verwaltung Ihrer Domain bietet.

Mithilfe der Samba-Tool-Schnittstelle können Sie Domänenbenutzer und -gruppen, Domänengruppenrichtlinien, Domänenstandorte, DNS-Dienste, Domänenreplikation und andere wichtige Domänenfunktionen direkt verwalten.

Um die gesamte Funktionalität von Samba-Tool zu überprüfen, geben Sie einfach den Befehl mit Root-Rechten ohne Optionen oder Parameter ein.

samba-tool -h

2. Beginnen wir nun mit der Verwendung des Dienstprogramms samba-tool, um Samba4 Active Directory zu verwalten und unsere Benutzer zu verwalten.

Um einen Benutzer im AD zu erstellen, verwenden Sie den folgenden Befehl:

samba-tool user add your_domain_user

Um einen Benutzer mit mehreren für AD erforderlichen wichtigen Feldern hinzuzufügen, verwenden Sie die folgende Syntax:

--------- review all options --------- 
samba-tool user add -h  
samba-tool user add your_domain_user --given-name=your_name --surname=your_username [email  --login-shell=/bin/bash

3. Eine Liste aller Samba-AD-Domänenbenutzer erhalten Sie, indem Sie den folgenden Befehl ausführen:

samba-tool user list

4. Um einen Samba AD-Domänenbenutzer zu löschen, verwenden Sie die folgende Syntax:

samba-tool user delete your_domain_user

5. Setzen Sie ein Samba-Domänenbenutzerkennwort zurück, indem Sie den folgenden Befehl ausführen:

samba-tool user setpassword your_domain_user

6. Um ein Samba AD-Benutzerkonto zu deaktivieren oder zu aktivieren, verwenden Sie den folgenden Befehl:

samba-tool user disable your_domain_user
samba-tool user enable your_domain_user

7. Ebenso können Samba-Gruppen mit der folgenden Befehlssyntax verwaltet werden:

--------- review all options --------- 
samba-tool group add –h  
samba-tool group add your_domain_group

8. Löschen Sie eine Samba-Domänengruppe, indem Sie den folgenden Befehl ausführen:

samba-tool group delete your_domain_group

9. Um alle Samba-Domänengruppen anzuzeigen, führen Sie den folgenden Befehl aus:

samba-tool group list

10. Um alle Samba-Domänenmitglieder in einer bestimmten Gruppe aufzulisten, verwenden Sie den folgenden Befehl:

samba-tool group listmembers "your_domain group"

11. Das Hinzufügen/Entfernen eines Mitglieds zu einer Samba-Domänengruppe kann durch Ausgabe eines der folgenden Befehle erfolgen:

samba-tool group addmembers your_domain_group your_domain_user
samba-tool group remove members your_domain_group your_domain_user

12. Wie bereits erwähnt, kann die Samba-Tool-Befehlszeilenschnittstelle auch zum Verwalten Ihrer Samba-Domänenrichtlinien und -Sicherheit verwendet werden.

Um die Passworteinstellungen Ihrer Samba-Domäne zu überprüfen, verwenden Sie den folgenden Befehl:

samba-tool domain passwordsettings show

13. Um die Kennwortrichtlinie der Samba-Domäne zu ändern, z. B. die Komplexitätsstufe des Kennworts, die Kennwortalterung, die Länge, die Anzahl der zu merkenden alten Kennwörter und andere für einen Domänencontroller erforderliche Sicherheitsfunktionen, verwenden Sie den folgenden Screenshot ein Ratgeber.

---------- List all command options ---------- 
samba-tool domain passwordsettings -h

Verwenden Sie niemals die oben dargestellten Passwortrichtlinienregeln in einer Produktionsumgebung. Die oben genannten Einstellungen dienen nur zu Demonstrationszwecken.

Schritt 2: Lokale Samba-Authentifizierung mithilfe von Active Directory-Konten

14. Standardmäßig können AD-Benutzer keine lokalen Anmeldungen auf dem Linux-System außerhalb der Samba AD DC-Umgebung durchführen.

Um sich mit einem Active Directory-Konto am System anzumelden, müssen Sie die folgenden Änderungen an Ihrer Linux-Systemumgebung vornehmen und Samba4 AD DC modifizieren.

Öffnen Sie zunächst die Samba-Hauptkonfigurationsdatei und fügen Sie die folgenden Zeilen hinzu, falls diese fehlen, wie im folgenden Screenshot dargestellt.

sudo nano /etc/samba/smb.conf

Stellen Sie sicher, dass die folgenden Anweisungen in der Konfigurationsdatei enthalten sind:

winbind enum users = yes
winbind enum groups = yes

15. Nachdem Sie die Änderungen vorgenommen haben, verwenden Sie das Dienstprogramm testparm, um sicherzustellen, dass in der Samba-Konfigurationsdatei keine Fehler gefunden werden, und starten Sie die Samba-Daemons neu, indem Sie den folgenden Befehl ausführen.

testparm
sudo systemctl restart samba-ad-dc.service

16. Als nächstes müssen wir die lokalen PAM-Konfigurationsdateien ändern, damit Samba4 Active Directory-Konten sich authentifizieren und eine Sitzung auf dem lokalen System öffnen und ein Home erstellen können Verzeichnis für Benutzer bei der ersten Anmeldung.

Verwenden Sie den Befehl pam-auth-update, um die PAM-Konfigurationsaufforderung zu öffnen, und stellen Sie sicher, dass Sie alle PAM-Profile mit der Taste [Leerzeichen] aktivieren, wie im folgenden Screenshot dargestellt.

Wenn Sie fertig sind, drücken Sie die [Tab]-Taste, um zu Ok zu wechseln und die Änderungen zu übernehmen.

sudo pam-auth-update

17. Öffnen Sie nun die Datei /etc/nsswitch.conf mit einem Texteditor und fügen Sie am Ende der Passwort- und Gruppenzeilen eine winbind-Anweisung hinzu wie im folgenden Screenshot dargestellt.

sudo vi /etc/nsswitch.conf

18. Bearbeiten Sie abschließend die Datei /etc/pam.d/common-password, suchen Sie nach der folgenden Zeile, wie im folgenden Screenshot dargestellt, und entfernen Sie use_authtok<-Anweisung.

Diese Einstellung stellt sicher, dass Active Directory-Benutzer ihr Passwort über die Befehlszeile ändern können, während sie unter Linux authentifiziert sind. Wenn diese Einstellung aktiviert ist, können lokal unter Linux authentifizierte AD-Benutzer ihr Passwort nicht über die Konsole ändern.

password       [success=1 default=ignore]      pam_winbind.so try_first_pass

Entfernen Sie die Option use_authtok jedes Mal, wenn PAM-Updates installiert und auf PAM-Module angewendet werden oder jedes Mal, wenn Sie den Befehl pam-auth-update ausführen.

19. Samba4-Binärdateien verfügen über einen integrierten und standardmäßig aktivierten winbindd-Daemon.

Aus diesem Grund müssen Sie den winbind-Daemon, der im winbind-Paket bereitgestellt wird, nicht mehr separat in den offiziellen Ubuntu-Repositorys aktivieren und ausführen.

Falls der alte und veraltete winbind-Dienst auf dem System gestartet wird, stellen Sie sicher, dass Sie ihn deaktivieren und den Dienst stoppen, indem Sie die folgenden Befehle ausführen:

sudo systemctl disable winbind.service
sudo systemctl stop winbind.service

Obwohl wir den alten Winbind-Daemon nicht mehr ausführen müssen, müssen wir dennoch das Winbind-Paket aus den Repositorys installieren, um das wbinfo-Tool zu installieren und zu verwenden.

Das Dienstprogramm Wbinfo kann zum Abfragen von Active Directory-Benutzern und -Gruppen aus Sicht des winbindd-Daemons verwendet werden.

Die folgenden Befehle veranschaulichen, wie AD-Benutzer und -Gruppen mithilfe von wbinfo abgefragt werden.

wbinfo -g
wbinfo -u
wbinfo -i your_domain_user

20. Neben dem Dienstprogramm wbinfo können Sie auch das Befehlszeilendienstprogramm getent verwenden, um die Active Directory-Datenbank aus Name Service Switch-Bibliotheken abzufragen, die in < dargestellt sind/etc/nsswitch.conf-Datei.

Leiten Sie den Befehl getent durch einen grep-Filter weiter, um die Ergebnisse nur auf Ihre AD-Realm-Benutzer- oder Gruppendatenbank einzugrenzen.

getent passwd | grep TECMINT
getent group | grep TECMINT

Schritt 3: Melden Sie sich unter Linux mit einem Active Directory-Benutzer an

21. Um sich am System mit einem Samba4 AD-Benutzer zu authentifizieren, verwenden Sie einfach den Parameter AD-Benutzername nach su - Befehl.

Bei der ersten Anmeldung wird auf der Konsole eine Meldung angezeigt, die Sie darüber informiert, dass im Systempfad /home/$DOMAIN/ ein Home-Verzeichnis mit dem Namen Ihres AD-Benutzernamens erstellt wurde.

Verwenden Sie den id-Befehl, um zusätzliche Informationen über den authentifizierten Benutzer anzuzeigen.

su - your_ad_user
id
exit

22. Um das Passwort für einen authentifizierten AD-Benutzer zu ändern, geben Sie den passwd-Befehl in die Konsole ein, nachdem Sie sich erfolgreich am System angemeldet haben.

su - your_ad_user
passwd

23. Standardmäßig werden Active Directory-Benutzern keine Root-Rechte gewährt, um Verwaltungsaufgaben unter Linux auszuführen.

Um einem AD-Benutzer Root-Rechte zu erteilen, müssen Sie den Benutzernamen der lokalen sudo-Gruppe hinzufügen, indem Sie den folgenden Befehl ausführen.

Stellen Sie sicher, dass Sie den Bereich, den Schrägstrich und den AD-Benutzernamen in einfache ASCII-Anführungszeichen setzen.

usermod -aG sudo 'DOMAIN\your_domain_user'

Um zu testen, ob der AD-Benutzer über Root-Rechte auf dem lokalen System verfügt, melden Sie sich an und führen Sie einen Befehl wie apt-get update mit sudo-Berechtigungen aus.

su - tecmint_user
sudo apt-get update

24. Falls Sie Root-Berechtigungen für alle Konten einer Active Directory-Gruppe hinzufügen möchten, bearbeiten Sie die Datei /etc/sudoers mit dem Befehl visudo und Fügen Sie die folgende Zeile nach der Root-Berechtigungszeile hinzu, wie im folgenden Screenshot dargestellt:

%DOMAIN\\your_domain\  group ALL=(ALL:ALL) ALL

Achten Sie auf die sudoers-Syntax, damit Sie nichts kaputt machen.

Die Sudoers-Datei verträgt die Verwendung von ASCII-Anführungszeichen nicht besonders gut. Stellen Sie daher sicher, dass Sie % verwenden, um anzugeben, dass Sie sich auf eine Gruppe beziehen, und verwenden Sie einen Backslash Escapen Sie den ersten Schrägstrich nach dem Domänennamen und einen weiteren Backslash, um Leerzeichen zu maskieren, wenn Ihr Gruppenname Leerzeichen enthält (die meisten in AD integrierten Gruppen enthalten standardmäßig Leerzeichen). Schreiben Sie den Bereich außerdem in Großbuchstaben.

Das ist alles für jetzt! Die Verwaltung der Samba4 AD-Infrastruktur kann auch mit mehreren Tools aus der Windows-Umgebung erreicht werden, wie z. B. ADUC, DNS Manager, GPM > oder andere, die durch die Installation des RSAT-Pakets von der Microsoft-Downloadseite erhalten werden können.

Um Samba4 AD DC über RSAT-Dienstprogramme zu verwalten, ist es unbedingt erforderlich, das Windows-System in Samba4 Active Directory einzubinden. Dies wird das Thema unseres nächsten Tutorials sein. Bleiben Sie bis dahin auf dem Laufenden bei TecMint.