Cara Mengurus Infrastruktur Iklan Samba4 dari Linux Command Line - Bahagian 2

Cara Mengurus Infrastruktur Iklan Samba4 dari Linux Command Line - Bahagian 2

Tutorial ini akan merangkumi beberapa arahan harian asas yang perlu anda gunakan untuk menguruskan Pengawal domain iklan samba4 Infrastruktur, seperti menambah, mengeluarkan, melumpuhkan atau menyenaraikan pengguna dan kumpulan.

Kami juga akan melihat bagaimana untuk menguruskan dasar keselamatan domain dan bagaimana mengikat pengguna iklan ke pengesahan PAM tempatan agar pengguna iklan dapat melaksanakan log masuk tempatan pada pengawal domain linux.

Keperluan

  1. Buat infrastruktur iklan dengan samba4 di Ubuntu 16.04 - Bahagian 1
  2. Urus Infrastruktur Direktori Aktif Samba4 dari Windows10 melalui RSAT - Bahagian 3
  3. Urus Samba4 Domain Controller DNS dan Dasar Kumpulan dari Windows - Bahagian 4

Langkah 1: Urus Samba AD DC dari baris arahan

1. Samba AD DC boleh diuruskan melalui Tool Samba Utiliti baris arahan yang menawarkan antara muka yang hebat untuk mentadbir domain anda.

Dengan bantuan antara muka-alat Samba, anda boleh mengurus pengguna dan kumpulan domain secara langsung, dasar kumpulan domain, tapak domain, perkhidmatan DNS, replikasi domain dan fungsi domain kritikal yang lain.

Untuk mengkaji keseluruhan fungsi alat samba hanya menaip arahan dengan keistimewaan root tanpa pilihan atau parameter.

# samba -tool -h 
Samba -Tool - Urus Alat Pentadbiran Samba

2. Sekarang, mari kita mula menggunakan Tool Samba utiliti untuk mentadbir Direktori Aktif Samba4 dan menguruskan pengguna kami.

Untuk membuat pengguna pada iklan gunakan arahan berikut:

# Pengguna samba-alat tambah anda_domain_user 

Untuk menambah pengguna dengan beberapa bidang penting yang diperlukan oleh AD, gunakan sintaks berikut:

--------- Semak semua pilihan --------- # Samba-Tool User Add -H # Samba-Tool Pengguna Tambah Your_Domain_user --given-name = your_name--surname = your_username [dilindungi e-mel]--login-shell =/bin/bash 
Buat pengguna pada iklan samba

3. Penyenaraian semua pengguna domain iklan Samba boleh diperoleh dengan mengeluarkan arahan berikut:

# senarai pengguna alat samba 
Senaraikan pengguna iklan samba

4. Untuk memadam a pengguna domain iklan samba Gunakan sintaks di bawah:

# Pengguna alat samba padam anda_domain_user 

5. Tetapkan semula kata laluan pengguna Domain Samba dengan melaksanakan arahan di bawah:

# Samba-Tool User SetPassword Your_domain_user 

6. Untuk melumpuhkan atau membolehkan akaun pengguna iklan Samba Gunakan arahan di bawah:

# Pengguna Samba-Tool Lumpuhkan Your_domain_user # Samba-Tool Pengguna Dayakan Anda_Domain_user 

7. Begitu juga, kumpulan samba boleh diuruskan dengan sintaks perintah berikut:

--------- Semak semua pilihan --------- # Samba-Tool Group Add -H # Samba-Tool Group Tambah anda_domain_group 

8. Padam kumpulan domain samba dengan mengeluarkan arahan di bawah:

# Samba-Tool Group Padam anda_domain_group 

9. Untuk memaparkan semua kumpulan domain samba menjalankan arahan berikut:

# senarai kumpulan samba-tool 

10. Untuk menyenaraikan semua ahli Domain Samba dalam kumpulan tertentu gunakan arahan:

# Samba-Tool Group ListMembers "Your_domain Group" 
Senaraikan ahli kumpulan Domain Samba

11. Menambah/mengeluarkan ahli dari kumpulan domain samba boleh dilakukan dengan mengeluarkan salah satu arahan berikut:

# samba-tool kumpulan addmembers your_domain_group your_domain_user # Samba-Tool Group Buang ahli anda_domain_group your_domain_user 

12. Seperti yang dinyatakan sebelum ini, antara muka baris komando-alat Samba juga boleh digunakan untuk menguruskan dasar dan keselamatan domain samba anda.

Untuk menyemak tetapan kata laluan Domain Samba anda gunakan arahan di bawah:

# Samba-alat Kata Laluan Domain Tunjukkan 
Periksa kata laluan domain samba

13. Untuk mengubahsuai polisi kata laluan domain samba, seperti tahap kerumitan kata laluan, penuaan kata laluan, panjang, berapa banyak kata laluan lama yang perlu diingat dan ciri keselamatan lain yang diperlukan untuk pengawal domain menggunakan tangkapan skrin di bawah sebagai panduan.

---------- Senaraikan semua pilihan arahan ---------- # Samba -Tool Domain PasswordSettings -H 
Urus Tetapan Kata Laluan Domain Samba

Jangan sekali -kali menggunakan peraturan dasar kata laluan seperti yang digambarkan di atas persekitaran pengeluaran. Tetapan di atas digunakan hanya untuk tujuan demonstrasi.

Langkah 2: Pengesahan Tempatan Samba Menggunakan Akaun Direktori Aktif

14. Secara lalai, pengguna iklan tidak dapat melakukan log masuk tempatan pada sistem linux di luar Samba AD DC persekitaran.

Untuk log masuk ke sistem dengan Direktori Aktif akaun anda perlu membuat perubahan berikut pada persekitaran sistem Linux anda dan mengubah suai Samba4 AD DC.

Pertama, buka fail konfigurasi utama samba dan tambahkan baris di bawah, jika hilang, seperti digambarkan pada tangkapan skrin di bawah.

$ sudo nano/etc/samba/smb.Conf 

Pastikan pernyataan berikut muncul pada fail konfigurasi:

Pengguna Winbind enum = Ya Winbind enum kumpulan = Ya 
Pengesahan Samba Menggunakan Akaun Pengguna Direktori Aktif

15. Setelah anda membuat perubahan, gunakan testparm utiliti untuk memastikan tiada ralat yang terdapat pada fail konfigurasi samba dan mulakan semula daemon samba dengan mengeluarkan arahan di bawah.

$ testparm $ sudo Systemctl Restart Samba-Ad-Dc.perkhidmatan 
Semak konfigurasi samba untuk kesilapan

16. Seterusnya, kita perlu mengubah suai fail konfigurasi PAM tempatan agar dapat Direktori Aktif Samba4 Akaun dapat mengesahkan dan membuka sesi pada sistem tempatan dan membuat direktori rumah untuk pengguna pada mulanya log masuk.

Menggunakan Pam-auth-update perintah untuk membuka prompt konfigurasi PAM dan pastikan anda membolehkan semua profil PAM menggunakan [Ruang] kunci seperti yang digambarkan pada tangkapan skrin di bawah.

Apabila selesai melanda [Tab] kunci untuk bergerak ke Okey dan gunakan perubahan.

$ sudo Pam-auth-update 
Konfigurasikan Pam untuk iklan Samba4 Dayakan Modul Pengesahan Pam untuk Pengguna Iklan Samba4

17. Sekarang, buka /etc/nsswitch.Conf fail dengan editor teks dan tambahkan Kenyataan Winbind Pada akhir kata laluan dan garisan kumpulan seperti yang digambarkan pada tangkapan skrin di bawah.

$ sudo vi /etc /nsswitch.Conf 
Tambahkan Switch Service Windbind untuk Samba

18. Akhirnya, edit /etc/Pam.D/Common-Password fail, cari baris di bawah seperti yang digambarkan pada tangkapan skrin di bawah dan keluarkan use_authtok penyata.

Tetapan ini memberi jaminan bahawa pengguna Direktori Aktif dapat menukar kata laluan mereka dari baris arahan semasa disahkan di Linux. Dengan tetapan ini, pengguna iklan disahkan secara tempatan di Linux tidak dapat menukar kata laluan mereka dari konsol.

kata laluan [kejayaan = 1 lalai = abaikan] PAM_WINBIND.Jadi cuba_first_pass 
Benarkan pengguna iklan samba menukar kata laluan

Keluarkan use_authtok pilihan setiap kali kemas kini PAM dipasang dan digunakan untuk modul PAM atau setiap kali anda melaksanakan Pam-auth-update perintah.

19. Binari samba4 dilengkapi dengan Winbindd Daemon terbina dalam dan didayakan secara lalai.

Atas sebab ini, anda tidak lagi dikehendaki untuk mengaktifkan dan menjalankan secara berasingan Winbind Daemon disediakan oleh Winbind Pakej dari repositori Ubuntu rasmi.

Sekiranya yang lama dan tidak ditetapkan Winbind Perkhidmatan dimulakan pada sistem pastikan anda melumpuhkannya dan menghentikan perkhidmatan dengan mengeluarkan arahan di bawah:

$ sudo systemctl melumpuhkan winbind.perkhidmatan $ sudo systemctl berhenti winbind.perkhidmatan 

Walaupun, kita tidak lagi perlu menjalankan daemon Winbind lama, kita masih perlu memasang pakej Winbind dari repositori untuk memasang dan menggunakan wbinfo alat.

Wbinfo Utiliti boleh digunakan untuk menanyakan pengguna dan kumpulan direktori aktif dari Winbindd pandangan daemon.

Perintah berikut menggambarkan cara menanyakan pengguna dan kumpulan iklan menggunakan wbinfo.

$ wbinfo -g $ wbinfo -u $ wbinfo -i your_domain_user 
Periksa maklumat iklan samba4 Semak maklumat pengguna iklan Samba4

20. Selain dari wbinfo utiliti yang anda juga boleh gunakan getent Utiliti baris arahan untuk menanyakan pangkalan data direktori aktif dari perpustakaan suis perkhidmatan nama yang diwakili dalam /etc/nsswitch.Conf fail.

Paip getent perintah melalui a grep penapis untuk menyempitkan hasil mengenai hanya pengguna atau pangkalan data kumpulan iklan anda.

# Getent Passwd | Grep Tecmint # Getent Group | Grep Tecmint 
Dapatkan perincian iklan samba4

Langkah 3: Log masuk di Linux dengan pengguna Direktori Aktif

21. Untuk mengesahkan sistem dengan a Samba4 AD pengguna, hanya gunakan Nama pengguna iklan parameter selepas su - perintah.

Pada log masuk pertama mesej akan dipaparkan pada konsol yang memberitahu anda bahawa direktori rumah telah dibuat /rumah/$ domain/ Laluan Sistem dengan Mane Nama Pengguna Iklan Anda.

Gunakan Perintah ID Untuk memaparkan maklumat tambahan mengenai pengguna yang disahkan.

# su - your_ad_user $ id $ exit 
Semak Pengesahan Pengguna Samba4 di Linux

22. Untuk menukar kata laluan untuk jenis pengguna iklan yang disahkan Perintah Passwd dalam konsol setelah anda berjaya melog masuk ke dalam sistem.

$ su - your_ad_user $ passwd 
Tukar kata laluan pengguna iklan samba4

23. Secara lalai, Direktori Aktif Pengguna tidak diberikan keistimewaan root untuk melaksanakan tugas pentadbiran di Linux.

Untuk memberikan kuasa akar kepada pengguna iklan, anda mesti menambah nama pengguna ke tempatan sudo kumpulan dengan mengeluarkan arahan di bawah.

Pastikan anda melampirkan alam, Slash dan Nama pengguna iklan dengan bujang Ascii petikan.

# usermod -ag sudo 'domain \ your_domain_user' 

Untuk menguji sama ada pengguna iklan mempunyai keistimewaan root pada sistem tempatan, log masuk dan menjalankan arahan, seperti kemas kini apt-get, dengan kebenaran sudo.

# su - tecmint_user $ sudo apt -get update 
Geran Sudo kepada Pengguna Iklan Samba4

24. Sekiranya anda ingin menambah keistimewaan root untuk semua akaun kumpulan direktori aktif, edit /etc/sudoers fail menggunakan Visudo Perintah dan tambahkan garis di bawah selepas garis keistimewaan root, seperti yang digambarkan pada tangkapan skrin di bawah:

%Domain \\ your_domain \ group semua = (semua: semua) semua 

Beri perhatian kepada sudoer sintaks sehingga anda tidak memecahkan sesuatu.

Fail sudoers tidak mengendalikan penggunaan dengan baik Ascii tanda petikan, jadi pastikan anda menggunakan % Untuk menunjukkan bahawa anda merujuk kepada kumpulan dan menggunakan backslash untuk melarikan diri dari slash pertama selepas nama domain dan backslash lain untuk melepaskan ruang jika nama kumpulan anda mengandungi ruang (kebanyakan kumpulan terbina dalam AD mengandungi ruang secara lalai). Juga, tulis alam dengan atas.

Beri akses sudo kepada semua pengguna iklan Samba4

Itu sahaja buat masa ini! Menguruskan Samba4 AD Infrastruktur juga boleh dicapai dengan beberapa alat dari persekitaran Windows, seperti ADUC, Pengurus DNS, Gpm atau yang lain, yang boleh diperoleh dengan memasang Rsat pakej dari halaman muat turun microsoft.

Untuk mentadbir Samba4 AD DC melalui Rsat utiliti, sangat perlu untuk menyertai sistem Windows ke dalam Direktori Aktif Samba4. Ini akan menjadi subjek tutorial seterusnya, sehingga kemudian ditempatkan Tecmint.