Table of Contents
Cómo administrar la infraestructura AD de Samba4 desde la línea de comandos de Linux-Parte 2
Este tutorial cubrirá algunos comandos diarios básicos que necesita usar para administrar la infraestructura del Controlador de dominio Samba4 AD. como agregar, eliminar, deshabilitar o enumerar usuarios y grupos.
También veremos cómo administrar la política de seguridad del dominio y cómo vincular a los usuarios de AD a la autenticación PAM local para que los usuarios de AD puedan realizar inicios de sesión locales en el controlador de dominio de Linux.
Requisitos
- Cree una infraestructura AD con Samba4 en Ubuntu 16.04-Parte 1
- Administre la infraestructura de Active Directory de Samba4 desde Windows10 a través de RSAT-Parte 3
- Administre el DNS y el grupo del controlador de dominio de Samba4 AD Política de Windows-Parte 4
Paso 1: Administrar Samba AD DC desde la línea de comandos
1.. Samba AD DC. se puede administrar a través de la utilidad de línea de comandos samba-tool. que ofrece una excelente interfaz para administrar su dominio.
Con la ayuda de la interfaz de la herramienta samba puede dirigir administre usuarios y grupos de dominio, política de grupo de dominio, sitios de dominio, servicios de DNS, replicación de dominio y otras funciones críticas de dominio.
Para revisar toda la funcionalidad de samba-tool simplemente escriba el comando con privilegios de root sin ningún opción o parámetro.
# samba-tool-h 
samba-tool-Gestionar la administración de Samba Herramienta freestar.config.enabled_slots.push
2.. Ahora, comencemos a usar samba-tool. utilidad para administrar Samba4 Active Directory. y gestionar nuestros usuarios.
Para crear un usuario en AD utilice el siguiente comando:
# samba-tool user agrega your_domain_user
Para agregar un usuario con varios campos importantes requeridos por AD, use la siguiente sintaxis:
———revise todas las opciones——— # samba-tool user add-h # samba-tool user añade your_domain_user–given-name = your_name–surname = your_username [email protected]–login-shell =/bi n/bash 
Crear usuario en Samba AD
3.. Una lista de Todos los usuarios del dominio AD de samba pueden obtenerse emitiendo el siguiente comando:
# lista de usuarios de la herramienta samba 
Enumerar usuarios de AD de Samba
4.. Para eliminar un AD de samba usuario de dominio. use la siguiente sintaxis:
# samba-tool user delete your_domain_user
5.. Restablezca la contraseña de un usuario de dominio de samba ejecutando el siguiente comando:
# samba-tool user setpassword your_domain_user
6.. Para deshabilitar o habilitar una cuenta de usuario de AD de samba, use el siguiente comando:
# samba-tool user deshabilite su_domain_user # samba-tool user enable your_domain_user
7.. Asimismo, los grupos de samba se pueden administrar con la siguiente sintaxis de comandos:
———revisar todas las opciones——— # samba-tool group add –h # samba-tool group add your_domain_group
8.. Elimine un grupo de dominios samba emitiendo el siguiente comando:
# samba-tool group delete your_domain_group
9.. Para mostrar todos los grupos de dominios de samba, ejecute el siguiente comando:
# samba-tool group list
10.. Para enumerar todos los miembros del dominio samba en un grupo específico, use el comando:
# samba-tool group listmembers “your_domain group” 
Listar miembros del grupo de dominios Samba
11.. Se puede agregar/eliminar un miembro de un grupo de dominios samba emitiendo uno de los siguientes comandos:
# samba-grupo de herramientas addmembers your_domain_group your_domain_user # samba-tool group eliminar miembros your_domain_group your_domain_user
12.. Como se mencionó anteriormente, la interfaz de línea de comandos de samba-tool también se puede utilizar para administrar ba política y seguridad del dominio.
Para revisar la configuración de la contraseña de su dominio samba, use el siguiente comando:
# samba-tool domain passwordsettings show 
Comprobar la contraseña del dominio Samba
13.. Para modificar la política de contraseñas del dominio samba, como el nivel de complejidad de la contraseña, el vencimiento de la contraseña, la longitud, cuántas contraseñas antiguas se deben recordar y otras características de seguridad necesarias para un controlador de dominio, utilice la siguiente captura de pantalla como guía.
———-Enumere todas las opciones de comando———- # configuración de contraseña del dominio samba-tool-h 
Administrar la configuración de contraseña de dominio de Samba
Nunca use las reglas de política de contraseñas como se ilustra arriba en un entorno de producción. Los ajustes anteriores se utilizan solo con fines de demostración.
Paso 2: Autenticación local de Samba mediante cuentas de Active Directory
14.. De forma predeterminada, los usuarios de AD no pueden realizar inicios de sesión locales en el sistema Linux fuera de Entorno Samba AD DC.
Para iniciar sesión en el sistema con una cuenta de Active Directory. debe realizar los siguientes cambios en el entorno de su sistema Linux y modificar Samba4 AD DC.
Primero, abra el archivo de configuración principal de samba y agregue las siguientes líneas, si faltan, como se ilustra en la siguiente captura de pantalla.
$ sudo nano/etc/samba/smb.conf
Asegúrese de que las siguientes declaraciones aparezcan en el archivo de configuración:
winbind enum users = yes winbind enum groups = yes 
Autenticación de Samba mediante usuario de Active Directory Cuentas
15.. Después de realizar los cambios, use la utilidad testparm. para asegurarse de que no se encuentren errores en el archivo de configuración de samba y reinicie los demonios de samba emitiendo lo siguiente comando.
$ testparm $ sudo systemctl restart samba-ad-dc.service 
Comprobar la configuración de Samba en busca de errores
16.. A continuación, necesitamos modificar los archivos de configuración de PAM locales para que las cuentas de Samba4 Active Directory. puedan para autenticar y abrir una sesión en el sistema local y crear un directorio de inicio para los usuarios en el primer inicio de sesión.
Utilice el comando pam-auth-update. para abrir el indicador de configuración de PAM y hacer asegúrese de habilitar todos los perfiles PAM usando la tecla [espacio] como se ilustra en la siguiente captura de pantalla.
Cuando termine, presione la tecla [Tab] para pasar a Ok. y aplicar los cambios.
$ sudo pam-auth-update 
Configurar PAM para Samba4 AD 
Enable PAM Authentication Module for Samba4 AD Users
17.. Ahora, abra el archivo /etc/nsswitch.conf. con un editor de texto y agregue la declaración winbind. al final de la contraseña y líneas de grupo como se ilustra en la siguiente captura de pantalla.
$ sudo vi/etc/nsswitch.conf 
Agregar interruptor de servicio Windbind para Samba
18.. Finalmente, edite el archivo /etc/pam.d/common-password. busque la línea de abajo como se ilustra en la siguiente captura de pantalla y elimine la instrucción use_authtok.
Esta configuración asegura que los usuarios de Active Directory pueden cambiar su contraseña desde la línea de comandos mientras están autenticados en Linux. Con esta configuración activada, los usuarios de AD autenticados localmente en Linux no pueden cambiar su contraseña desde la consola.
contraseña [éxito = 1 predeterminado = ignorar] pam_winbind.so try_first_pass 
Permitir a los usuarios de Samba AD cambiar contraseñas
Elimine la opción use_authtok. cada vez que se instalen y apliquen actualizaciones de PAM a los módulos de PAM o cada vez que ejecute el comando pam-auth-update.
19.. Los binarios de Samba4 vienen con un demonio winbindd. incorporado y habilitado de forma predeterminada.
Por esta razón, ya no es necesario que habilite y ejecute el demonio winbind. proporcionado por el paquete winbind. desde los repositorios oficiales de Ubuntu.
En caso de que se inicie el antiguo y obsoleto servicio winbind. en el sistema, asegúrese de deshabilitarlo y detener el servicio emitiendo los siguientes comandos:
$ sudo systemctl disable winbind.service $ s udo systemctl stop winbind.service
Aunque ya no necesitamos ejecutar el antiguo demonio winbind, aún necesitamos instalar el paquete Winbind desde los repositorios para poder instalar y usar la herramienta wbinfo.
La utilidad Wbinfo. se puede utilizar para consultar usuarios y grupos de Active Directory desde el punto de vista del demonio winbindd.
Los siguientes comandos ilustran cómo realizar consultas Usuarios y grupos de AD que utilizan wbinfo.
$ wbinfo-g $ wbinfo-u $ wbinfo-i su_usuario_dominio 
Verifique la información de AD de Samba4 
Verifique la información del usuario de Samba4 AD
20.. Además de la utilidad wbinfo. también puede usar la utilidad de línea de comandos getent. para consultar la base de datos de Active Directory desde el nombre Bibliotecas de cambio de servicio que se representan en el archivo /etc/nsswitch.conf.
Canalice el comando getent. a través de un filtro grep. para limitar los resultados con respecto solo a su usuario o grupo de base de datos de dominio de AD.
El archivo Sudoers no maneja muy bien el uso de comillas ASCII. así que asegúrese de usar% para indicar que se está refiriendo a un grupo y use una barra invertida para escape la primera barra después del nombre de dominio y otra barra invertida para escapar de los espacios si el nombre de su grupo contiene espacios (la mayoría de los grupos integrados de AD contienen espacios por defecto). Además, escribe el reino con mayúsculas.
Dar acceso a Sudo a todos los usuarios de Samba4 AD
Eso es ¡Todo por ahora! La administración de la infraestructura de Samba4 AD. también se puede lograr con varias herramientas del entorno de Windows, como ADUC. DNS Manager. GPM. u otro, que se puede obtener instalando el paquete RSAT. desde la página de descarga de Microsoft.
Para administrar Samba4 AD DC. a través de RSAT. utilidades, es absolutamente necesario unir el sistema Windows a Samba4 Active Directory. Este será el tema de nuestro próximo tutorial, hasta entonces, estad atentos a TecMint.
