Giunsa Pagdumala ang Samba4 AD Infrastructure gikan sa Linux Command Line - Bahin 2

Kini nga panudlo maglangkob sa pipila ka mga sukaranan nga adlaw-adlaw nga mga mando nga kinahanglan nimo gamiton aron madumala ang imprastraktura sa Samba4 AD Domain Controller, sama sa pagdugang, pagtangtang, pag-disable o paglista sa mga tiggamit ug grupo.

Atong tan-awon usab kung giunsa pagdumala ang palisiya sa seguridad sa domain ug kung giunsa ang pagbugkos sa mga tiggamit sa AD sa lokal nga pag-authenticate sa PAM aron ang mga tiggamit sa AD makahimo sa mga lokal nga pag-login sa Linux Domain Controller.

1. Paghimo usa ka AD Infrastructure gamit ang Samba4 sa Ubuntu 16.04 - Bahin 1
2. Pagdumala sa Samba4 Active Directory Infrastructure gikan sa Windows10 pinaagi sa RSAT – Bahin 3
3. Pagdumala sa Samba4 AD Domain Controller DNS ug Group Policy gikan sa Windows – Bahin 4

Lakang 1: Pagdumala sa Samba AD DC gikan sa Command Line

1. Ang Samba AD DC mahimong madumala pinaagi sa samba-tool command line utility nga nagtanyag og maayong interface alang sa pagdumala sa imong domain.

Uban sa tabang sa samba-tool interface mahimo nimong direktang madumala ang mga tiggamit ug mga grupo sa domain, Polisiya sa Grupo sa domain, mga site sa domain, serbisyo sa DNS, replikasyon sa domain ug uban pang kritikal nga mga gimbuhaton sa domain.

Aron marepaso ang tibuuk nga gamit sa samba-tool i-type lang ang command nga adunay mga pribilehiyo sa gamut nga wala’y kapilian o parameter.

# samba-tool -h

2. Karon, magsugod kita sa paggamit sa samba-tool utility sa pagdumala sa Samba4 Active Directory ug pagdumala sa atong mga tiggamit.

Aron makahimo og user sa AD gamita ang mosunod nga sugo:

# samba-tool user add your_domain_user

Aron makadugang ug user nga adunay daghang importanteng field nga gikinahanglan sa AD, gamita ang mosunod nga syntax:

--------- review all options --------- 
# samba-tool user add -h  
# samba-tool user add your_domain_user --given-name=your_name --surname=your_username [email  --login-shell=/bin/bash

3. Ang usa ka lista sa tanang samba AD domain user mahimong makuha pinaagi sa pag-isyu sa mosunod nga sugo:

# samba-tool user list

4. Aron matangtang ang samba AD domain user gamita ang ubos nga syntax:

# samba-tool user delete your_domain_user

5. I-reset ang usa ka samba domain user password pinaagi sa pagpatuman sa ubos nga sugo:

# samba-tool user setpassword your_domain_user

6. Aron ma-disable o ma-enable ang samba AD User account gamita ang ubos nga command:

# samba-tool user disable your_domain_user
# samba-tool user enable your_domain_user

7. Ingon usab, ang mga grupo sa samba mahimong madumala gamit ang mosunod nga command syntax:

--------- review all options --------- 
# samba-tool group add –h  
# samba-tool group add your_domain_group

8. Pagtangtang sa samba domain nga grupo pinaagi sa pag-isyu sa ubos nga sugo:

# samba-tool group delete your_domain_group

9. Aron ipakita ang tanang grupo sa samba domain padagana ang mosunod nga sugo:

# samba-tool group list

10. Aron ilista ang tanang miyembro sa samba domain sa usa ka partikular nga grupo gamita ang command:

# samba-tool group listmembers "your_domain group"

11. Pagdugang/Pagtangtang sa usa ka miyembro gikan sa grupo sa samba domain mahimo pinaagi sa pag-isyu sa usa sa mosunod nga mga sugo:

# samba-tool group addmembers your_domain_group your_domain_user
# samba-tool group remove members your_domain_group your_domain_user

12. Sama sa gihisgotan sa sayo pa, samba-tool command line interface mahimo usab nga gamiton sa pagdumala sa imong samba domain palisiya ug seguridad.

Aron masusi ang imong mga setting sa password sa samba domain gamita ang ubos nga sugo:

# samba-tool domain passwordsettings show

13. Aron mabag-o ang polisiya sa password sa samba domain, sama sa lebel sa pagkakomplikado sa password, pagtigulang sa password, gitas-on, pila ka daan nga password ang mahinumduman ug uban pang mga bahin sa seguridad nga gikinahanglan alang sa usa ka Domain Controller gamita ang screenshot sa ubos isip giya.

---------- List all command options ---------- 
# samba-tool domain passwordsettings -h 

Ayaw gamita ang mga lagda sa palisiya sa password sama sa gihulagway sa ibabaw sa usa ka palibot sa produksiyon. Ang mga setting sa ibabaw gigamit lang alang sa mga katuyoan sa pagpakita.

Lakang 2: Samba Local Authentication Gamit ang Active Directory Accounts

14. Sa kasagaran, ang mga tiggamit sa AD dili makahimo sa lokal nga pag-login sa sistema sa Linux gawas sa Samba AD DC nga palibot.

Aron maka-log in sa sistema nga adunay Active Directory nga account kinahanglan nimo nga buhaton ang mosunod nga mga pagbag-o sa imong Linux system environment ug usbon ang Samba4 AD DC.

Una, ablihi ang samba main configuration file ug idugang ang mga linya sa ubos, kung wala, ingon sa gihulagway sa screenshot sa ubos.

$ sudo nano /etc/samba/smb.conf

Siguroha nga ang mosunod nga mga pahayag makita sa configuration file:

winbind enum users = yes
winbind enum groups = yes

15. Human nimo mahimo ang mga pagbag-o, gamita ang testparm utility aron masiguro nga walay mga sayup nga makit-an sa samba configuration file ug i-restart ang samba daemon pinaagi sa pag-isyu sa ubos nga sugo.

$ testparm
$ sudo systemctl restart samba-ad-dc.service

16. Sunod, kinahanglan natong usbon ang lokal nga PAM configuration files aron ang Samba4 Active Directory nga mga account makahimo sa pag-authenticate ug pag-abli sa sesyon sa lokal nga sistema ug paghimo og home directory alang sa mga tiggamit sa unang pag-login.

Gamita ang command sa pam-auth-update aron maablihan ang prompt sa configuration sa PAM ug siguroa nga mahimo nimo ang tanang profile sa PAM gamit ang [space] key sama sa gihulagway sa screenshot sa ubos.

Kung nahuman na, pindota ang [Tab] key aron mabalhin sa Ok ug magamit ang mga pagbag-o.

$ sudo pam-auth-update

17. Karon, ablihi ang /etc/nsswitch.conf file gamit ang text editor ug idugang ang winbind statement sa katapusan sa password ug mga linya sa grupo sama sa gihulagway sa ubos nga screenshot.

$ sudo vi /etc/nsswitch.conf

18. Sa kataposan, i-edit ang /etc/pam.d/common-password file, pangitaa ang ubos nga linya sama sa gihulagway sa ubos nga screenshot ug kuhaa ang use_authtok nga pahayag.

Kini nga setting nagpasalig nga ang mga tiggamit sa Active Directory mahimong mag-usab sa ilang password gikan sa command line samtang gipamatud-an sa Linux. Sa kini nga setting, ang mga tiggamit sa AD nga gi-authenticate sa lokal sa Linux dili makausab sa ilang password gikan sa console.

password       [success=1 default=ignore]      pam_winbind.so try_first_pass

Kuhaa ang opsyon sa paggamit_authtok sa matag higayon nga ang mga update sa PAM ma-install ug magamit sa mga module sa PAM o sa matag higayon nga imong ipatuman ang pam-auth-update nga mando.

19. Ang mga binary sa Samba4 adunay usa ka built-in nga daemon nga winbindd ug gipaandar pinaagi sa default.

Tungod niini nga rason dili na nimo kinahanglan nga bulagon ang pagpagana ug pagpadagan sa winbind daemon nga gihatag sa winbind package gikan sa opisyal nga mga repositoryo sa Ubuntu.

Kung ang daan ug wala na gigamit nga serbisyo sa winbind gisugdan sa sistema siguruha nga imong gi-disable kini ug hunongon ang serbisyo pinaagi sa pag-isyu sa mga sugo sa ubos:

$ sudo systemctl disable winbind.service
$ sudo systemctl stop winbind.service

Bisan pa, dili na namo kinahanglan nga magpadagan sa daan nga winbind daemon, kinahanglan pa namon nga i-install ang Winbind package gikan sa mga repository aron ma-install ug magamit ang tool sa wbinfo.

Ang utility sa Wbinfo mahimong magamit sa pagpangutana sa mga tiggamit ug grupo sa Active Directory gikan sa punto sa panglantaw sa winbindd daemon.

Ang mosunod nga mga sugo naghulagway kon unsaon pagpangutana sa mga tiggamit ug grupo sa AD gamit ang wbinfo.

$ wbinfo -g
$ wbinfo -u
$ wbinfo -i your_domain_user

20. Gawas sa wbinfo utility mahimo usab nimong gamiton ang getent command line utility para mangutana sa Active Directory database gikan sa Name Service Switch library nga girepresentahan sa /etc/nsswitch.conf file.

Pipe getent command pinaagi sa grep filter aron makit-an ang mga resulta bahin sa imong AD realm user o group database.

# getent passwd | grep TECMINT
# getent group | grep TECMINT

Lakang 3: Pag-login sa Linux gamit ang usa ka Active Directory User

21. Aron ma-authenticate ang sistema sa usa ka Samba4 AD user, gamita lang ang AD username parameter human sa su - command.

Sa una nga pag-login usa ka mensahe ang ipakita sa console nga nagpahibalo kanimo nga usa ka direktoryo sa balay gihimo sa /home/$DOMAIN/ system path nga adunay mane sa imong AD username.

Gamita ang id command aron ipakita ang dugang nga impormasyon bahin sa authenticated user.

# su - your_ad_user
$ id
$ exit

22. Aron usbon ang password alang sa usa ka authenticated AD user type passwd command sa console human ka malampuson nga naka-log in sa sistema.

$ su - your_ad_user
$ passwd

23. Sa kasagaran, ang mga tiggamit sa Active Directory wala hatagi og mga pribilihiyo sa gamut aron mahimo ang mga buluhaton sa administratibo sa Linux.

Aron mahatagan ang mga gahum sa gamut sa usa ka gumagamit sa AD kinahanglan nimo nga idugang ang username sa lokal nga grupo sa sudo pinaagi sa pag-isyu sa ubos nga mando.

Siguruha nga imong gilakip ang gingharian, slash ug AD username nga adunay usa ka ASCII nga mga kinutlo.

# usermod -aG sudo 'DOMAIN\your_domain_user'

Aron masulayan kung ang AD user adunay mga pribilehiyo sa gamut sa lokal nga sistema, pag-login ug pagdagan usa ka mando, sama sa apt-get update, nga adunay mga pagtugot sa sudo.

# su - tecmint_user
$ sudo apt-get update

24. Kung gusto nimong idugang ang mga pribilehiyo sa gamut alang sa tanan nga mga account sa usa ka grupo sa Active Directory, i-edit ang /etc/sudoers file gamit ang visudo command ug idugang ang linya sa ubos pagkahuman sa linya sa mga pribilehiyo sa gamut, ingon sa gihulagway sa screenshot sa ubos:

%DOMAIN\\your_domain\  group ALL=(ALL:ALL) ALL

Hatagi'g pagtagad ang sudoers syntax aron dili nimo mabungkag ang mga butang.

Ang Sudoers nga file dili kaayo makadumala sa paggamit sa ASCII quotation marks, busa siguroha nga imong gigamit ang % aron ipahibalo nga ikaw nagtumong sa usa ka grupo ug naggamit og backslash aron makalingkawas sa unang slash human sa domain ngalan ug laing backslash aron makalingkawas sa mga wanang kung ang imong ngalan sa grupo adunay mga espasyo (kadaghanan sa AD built-in nga mga grupo adunay mga espasyo sa default). Usab, isulat ang gingharian nga adunay mga uppercase.

Kana lang sa pagkakaron! Ang pagdumala sa imprastraktura sa Samba4 AD mahimo usab nga makab-ot gamit ang daghang mga himan gikan sa palibot sa Windows, sama sa ADUC, DNS Manager, GPM o uban pa, nga makuha pinaagi sa pag-install sa RSAT package gikan sa panid sa pag-download sa Microsoft.

Aron madumala ang Samba4 AD DC pinaagi sa RSAT utilities, kinahanglan gyud nga moapil sa Windows system sa Samba4 Active Directory. Kini ang mahimong hilisgutan sa among sunod nga panudlo, hangtod nga magpabilin nga tune sa TecMint.