Jinsi ya Kusimamia Miundombinu ya Samba4 AD kutoka kwa Mstari wa Amri ya Linux - Sehemu ya 2
Mafunzo haya yatashughulikia baadhi ya amri za kimsingi za kila siku unazohitaji kutumia ili kudhibiti miundombinu ya Kidhibiti cha Kikoa cha Samba4 AD, kama vile kuongeza, kuondoa, kuzima au kuorodhesha watumiaji na vikundi.
Pia tutaangalia jinsi ya kudhibiti sera ya usalama ya kikoa na jinsi ya kuwafunga watumiaji wa AD kwa uthibitishaji wa PAM wa karibu ili watumiaji wa AD waweze kutekeleza kuingia kwenye akaunti kwenye Kidhibiti cha Kikoa cha Linux.
- Unda Muundo wa AD ukitumia Samba4 kwenye Ubuntu 16.04 - Sehemu ya 1
- Dhibiti Miundombinu ya Samba4 Active Directory kutoka Windows10 kupitia RSAT - Sehemu ya 3
- Dhibiti DNS ya Kidhibiti cha Kikoa cha Samba4 AD na Sera ya Kikundi kutoka Windows - Sehemu ya 4
Hatua ya 1: Dhibiti Samba AD DC kutoka kwa Mstari wa Amri
1. Samba AD DC inaweza kudhibitiwa kupitia matumizi ya mstari wa amri ya zana ya samba ambayo hutoa kiolesura bora cha kusimamia kikoa chako.
Kwa usaidizi wa interface ya zana ya samba unaweza kusimamia moja kwa moja watumiaji na vikundi vya kikoa, Sera ya Kikundi cha kikoa, tovuti za kikoa, huduma za DNS, urudiaji wa kikoa na kazi nyingine muhimu za kikoa.
Ili kukagua utendakazi mzima wa zana ya samba chapa tu amri na marupurupu ya mizizi bila chaguo au parameta.
# samba-tool -h
2. Sasa, hebu tuanze kutumia matumizi ya zana ya samba ili kusimamia Samba4 Active Directory na kudhibiti watumiaji wetu.
Ili kuunda mtumiaji kwenye AD tumia amri ifuatayo:
# samba-tool user add your_domain_user
Ili kuongeza mtumiaji aliye na sehemu kadhaa muhimu zinazohitajika na AD, tumia sintaksia ifuatayo:
--------- review all options --------- # samba-tool user add -h # samba-tool user add your_domain_user --given-name=your_name --surname=your_username [email --login-shell=/bin/bash
3. Orodha ya watumiaji wote wa kikoa cha AD ya samba inaweza kupatikana kwa kutoa amri ifuatayo:
# samba-tool user list
4. Kufuta mtumiaji wa kikoa cha AD cha samba tumia sintaksia iliyo hapa chini:
# samba-tool user delete your_domain_user
5. Weka upya nenosiri la mtumiaji wa kikoa cha samba kwa kutekeleza amri iliyo hapa chini:
# samba-tool user setpassword your_domain_user
6. Ili kuzima au kuwezesha akaunti ya Mtumiaji ya samba AD tumia amri iliyo hapa chini:
# samba-tool user disable your_domain_user # samba-tool user enable your_domain_user
7. Vile vile, vikundi vya samba vinaweza kusimamiwa na syntax ya amri ifuatayo:
--------- review all options --------- # samba-tool group add –h # samba-tool group add your_domain_group
8. Futa kikundi cha kikoa cha samba kwa kutoa amri ifuatayo:
# samba-tool group delete your_domain_group
9. Kuonyesha vikundi vyote vya kikoa cha samba endesha amri ifuatayo:
# samba-tool group list
10. Kuorodhesha washiriki wote wa kikoa cha samba katika kikundi maalum tumia amri:
# samba-tool group listmembers "your_domain group"
11. Kuongeza/Kuondoa mwanachama kutoka kwa kikundi cha kikoa cha samba kunaweza kufanywa kwa kutoa mojawapo ya amri zifuatazo:
# samba-tool group addmembers your_domain_group your_domain_user # samba-tool group remove members your_domain_group your_domain_user
12. Kama ilivyotajwa awali, kiolesura cha mstari wa amri cha zana ya samba pia kinaweza kutumika kudhibiti sera na usalama wa kikoa chako cha samba.
Ili kukagua mipangilio ya nenosiri la kikoa chako cha samba tumia amri iliyo hapa chini:
# samba-tool domain passwordsettings show
13. Ili kurekebisha sera ya nenosiri la kikoa cha samba, kama vile kiwango cha utata wa nenosiri, umri wa nenosiri, urefu, nenosiri mangapi la zamani la kukumbuka na vipengele vingine vya usalama vinavyohitajika kwa Kidhibiti cha Kikoa tumia picha ya skrini iliyo hapa chini kama mwongozo.
---------- List all command options ---------- # samba-tool domain passwordsettings -h
Usiwahi kutumia sheria za sera ya nenosiri kama ilivyoonyeshwa hapo juu kwenye mazingira ya uzalishaji. Mipangilio iliyo hapo juu inatumika kwa madhumuni ya onyesho tu.
Hatua ya 2: Uthibitishaji wa Ndani ya Samba Kwa Kutumia Akaunti Zinazotumika Saraka
14. Kwa chaguo-msingi, watumiaji wa AD hawawezi kuingia katika akaunti za ndani kwenye mfumo wa Linux nje ya mazingira ya Samba AD DC.
Ili uingie kwenye mfumo ukitumia akaunti ya Active Directory unahitaji kufanya mabadiliko yafuatayo kwenye mazingira ya mfumo wako wa Linux na urekebishe Samba4 AD DC.
Kwanza, fungua faili kuu ya usanidi ya samba na uongeze mistari iliyo hapa chini, ikiwa haipo, kama inavyoonyeshwa kwenye picha ya skrini iliyo hapa chini.
$ sudo nano /etc/samba/smb.conf
Hakikisha taarifa zifuatazo zinaonekana kwenye faili ya usanidi:
winbind enum users = yes winbind enum groups = yes
15. Baada ya kufanya mabadiliko, tumia matumizi ya testparm ili kuhakikisha kuwa hakuna hitilafu zinazopatikana kwenye faili ya usanidi wa samba na uanze upya daemons za samba kwa kutoa amri iliyo hapa chini.
$ testparm $ sudo systemctl restart samba-ad-dc.service
16. Kisha, tunahitaji kurekebisha faili za usanidi za PAM za ndani ili akaunti za Samba4 Active Directory ziweze kuthibitisha na kufungua kipindi kwenye mfumo wa ndani na kuunda saraka ya nyumbani kwa watumiaji mara ya kwanza kuingia.
Tumia amri ya pam-auth-update ili kufungua kidokezo cha usanidi wa PAM na uhakikishe kuwa umewasha wasifu wote wa PAM kwa kutumia kitufe cha [nafasi] kama inavyoonyeshwa kwenye picha ya skrini iliyo hapa chini.
Ukimaliza gonga kitufe cha [Tab] ili kuhamisha hadi Sawa na kutekeleza mabadiliko.
$ sudo pam-auth-update
17. Sasa, fungua faili /etc/nsswitch.conf na kihariri maandishi na uongeze kauli ya winbind mwishoni mwa nenosiri na mistari ya kikundi kama inavyoonyeshwa kwenye picha ya skrini iliyo hapa chini.
$ sudo vi /etc/nsswitch.conf
18. Hatimaye, hariri faili ya /etc/pam.d/common-password, tafuta mstari ulio hapa chini kama inavyoonyeshwa kwenye picha ya skrini iliyo hapa chini na uondoe kauli ya use_authtok.
Mpangilio huu unahakikisha kuwa watumiaji wa Active Directory wanaweza kubadilisha nenosiri lao kutoka kwa safu ya amri wakati wameidhinishwa katika Linux. Mpangilio huu ukiwashwa, watumiaji wa AD waliothibitishwa ndani ya Linux hawawezi kubadilisha nenosiri lao kutoka kwa kiweko.
password [success=1 default=ignore] pam_winbind.so try_first_pass
Ondoa chaguo la use_authtok kila wakati masasisho ya PAM yanaposakinishwa na kutumika kwa moduli za PAM au kila wakati unapotekeleza amri ya kusasisha pam-auth-update.
19. Samba4 jozi huja na winbindd daemon iliyojengewa ndani na kuwezeshwa kwa chaguomsingi.
Kwa sababu hii hauhitajiki tena kuwezesha na kuendesha daemon ya winbind kando iliyotolewa na kifurushi cha winbind kutoka hazina rasmi za Ubuntu.
Iwapo huduma ya zamani na iliyoacha kutumika ya winbind itaanzishwa kwenye mfumo hakikisha unaizima na usimamishe huduma kwa kutoa amri hapa chini:
$ sudo systemctl disable winbind.service $ sudo systemctl stop winbind.service
Ingawa, hatuhitaji tena kuendesha daemon ya zamani ya winbind, bado tunahitaji kusakinisha kifurushi cha Winbind kutoka hazina ili kusakinisha na kutumia zana ya wbinfo.
Huduma ya Wbinfo inaweza kutumika kuuliza watumiaji na vikundi vya Active Directory kutoka kwa mtazamo wa winbindd daemon.
Amri zifuatazo zinaonyesha jinsi ya kuuliza watumiaji na vikundi vya AD kwa kutumia wbinfo.
$ wbinfo -g $ wbinfo -u $ wbinfo -i your_domain_user
20. Kando na matumizi ya wbinfo unaweza pia kutumia matumizi ya laini ya amri ya getent kuuliza hifadhidata ya Active Directory kutoka kwa Jina Service Badili maktaba ambayo yanawakilishwa katika /etc/nsswitch.conf faili.
Bomba getent amri kupitia kichujio cha grep ili kupunguza matokeo kuhusu mtumiaji wako wa AD realm au hifadhidata ya kikundi.
# getent passwd | grep TECMINT # getent group | grep TECMINT
Hatua ya 3: Ingia kwenye Linux na Mtumiaji wa Saraka Inayotumika
21. Ili kuthibitisha kwenye mfumo na mtumiaji wa Samba4 AD, tumia tu parameta ya jina la mtumiaji AD baada ya su - amri.
Wakati wa kuingia kwa mara ya kwanza, ujumbe utaonyeshwa kwenye dashibodi ambayo inakujulisha kuwa saraka ya nyumbani imeundwa kwenye /home/$DOMAIN/ njia ya mfumo na mane ya jina lako la mtumiaji AD.
Tumia amri ya kitambulisho ili kuonyesha maelezo ya ziada kuhusu mtumiaji aliyeidhinishwa.
# su - your_ad_user $ id $ exit
22. Kubadilisha nenosiri kwa amri iliyothibitishwa ya aina ya mtumiaji wa AD passwd kwenye kiweko baada ya kuingia kwenye mfumo kwa mafanikio.
$ su - your_ad_user $ passwd
23. Kwa chaguomsingi, watumiaji wa Active Directory hawapewi haki za mizizi ili kufanya kazi za usimamizi kwenye Linux.
Ili kutoa nguvu za mizizi kwa mtumiaji wa AD lazima uongeze jina la mtumiaji kwenye kikundi cha sudo cha ndani kwa kutoa amri iliyo hapa chini.
Hakikisha kuwa umeambatanisha jina la mtumiaji la ulimwengu, kufyeka na AD na nukuu moja za ASCII.
# usermod -aG sudo 'DOMAIN\your_domain_user'
Ili kujaribu ikiwa mtumiaji wa AD ana haki za mizizi kwenye mfumo wa ndani, ingia na utekeleze amri, kama vile apt-get update, kwa ruhusa za sudo.
# su - tecmint_user $ sudo apt-get update
24. Iwapo unataka kuongeza haki za mizizi kwa akaunti zote za kikundi cha Saraka Inayotumika, hariri /etc/sudoers faili ukitumia amri ya visudo na uongeze laini iliyo hapa chini baada ya mstari wa haki za mizizi, kama inavyoonyeshwa kwenye picha ya skrini iliyo hapa chini:
%DOMAIN\\your_domain\ group ALL=(ALL:ALL) ALL
Zingatia syntax ya sudoers ili usivunje mambo.
Faili ya Sudoers haishughulikii vyema utumiaji wa alama za nukuu za ASCII, kwa hivyo hakikisha unatumia % kuashiria kuwa unarejelea kikundi na utumie kurudi nyuma kutoroka kufyeka kwanza baada ya kikoa. jina na ugomvi mwingine ili kuepuka nafasi ikiwa jina la kikundi chako lina nafasi (vikundi vingi vilivyojumuishwa katika AD vina nafasi kwa chaguo-msingi). Pia, andika eneo hilo kwa herufi kubwa.
Ni hayo tu kwa sasa! Kusimamia miundombinu ya Samba4 AD kunaweza pia kupatikana kwa zana kadhaa kutoka kwa mazingira ya Windows, kama vile ADUC, DNS Manager, GPM au nyinginezo, ambazo zinaweza kupatikana kwa kusakinisha kifurushi cha RSAT kutoka kwa ukurasa wa upakuaji wa Microsoft.
Ili kudhibiti Samba4 AD DC kupitia huduma za RSAT, ni muhimu kabisa kujiunga na mfumo wa Windows hadi Samba4 Active Directory. Hili litakuwa somo la somo letu lijalo, hadi hapo endelea kuwa karibu na TecMint.