Cómo administrar la infraestructura AD de Samba4 desde la línea de comandos de Linux - Parte 2


Este tutorial cubrirá algunos comandos diarios básicos que necesita usar para administrar la infraestructura de Samba4 AD Domain Controller , como agregar, eliminar, desactivar o listar usuarios y grupos.

También veremos cómo administrar la política de seguridad del dominio y cómo vincular a los usuarios de AD a la autenticación PAM local para que los usuarios de AD puedan realizar inicios de sesión locales en el controlador de dominio de Linux.

  1. Create an AD Infrastructure with Samba4 on Ubuntu 16.04 – Part 1
  2. Manage Samba4 Active Directory Infrastructure from Windows10 via RSAT – Part 3
  3. Manage Samba4 AD Domain Controller DNS and Group Policy from Windows – Part 4

Paso 1: Administrar Samba AD DC desde la línea de comandos

1. Samba AD DC se puede administrar a través de samba-tool , la utilidad de línea de comandos que ofrece una excelente interfaz para administrar su dominio.

Con la ayuda de la interfaz de samba-tool, puede administrar directamente los usuarios y grupos del dominio, la Política de grupo del dominio, los sitios del dominio, los servicios DNS, la replicación del dominio y otras funciones críticas del dominio.

Para revisar toda la funcionalidad de samba-tool, simplemente escriba el comando con privilegios de root sin ninguna opción o parámetro.

# samba-tool -h

2. Ahora, comencemos a usar la utilidad samba-tool para administrar Active Directory de Samba4 y administrar a nuestros usuarios.

Para crear un usuario en AD use el siguiente comando:

# samba-tool user add your_domain_user

Para agregar un usuario con varios campos importantes requeridos por AD, use la siguiente sintaxis:

--------- review all options --------- 
# samba-tool user add -h  
# samba-tool user add your_domain_user --given-name=your_name --surname=your_username [email protected] --login-shell=/bin/bash

3. Se puede obtener una lista de todos los usuarios del dominio AD de samba emitiendo el siguiente comando:

# samba-tool user list

4. Para eliminar un usuario de dominio samba AD use la siguiente sintaxis:

# samba-tool user delete your_domain_user

5. Restablece una contraseña de usuario de dominio samba ejecutando el siguiente comando:

# samba-tool user setpassword your_domain_user

6. para deshabilitar o habilitar una cuenta de usuario AD de samba, use el siguiente comando:

# samba-tool user disable your_domain_user
# samba-tool user enable your_domain_user

7. Del mismo modo, los grupos de samba se pueden administrar con la siguiente sintaxis de comando:

--------- review all options --------- 
# samba-tool group add –h  
# samba-tool group add your_domain_group

8. Borre un grupo de dominios samba emitiendo el siguiente comando:

# samba-tool group delete your_domain_group

9. Para mostrar todos los grupos de dominios de samba, ejecute el siguiente comando:

# samba-tool group list

10. Para enumerar todos los miembros del dominio samba en un grupo específico, use el comando:

# samba-tool group listmembers "your_domain group"

11. Se puede agregar/eliminar un miembro de un grupo de dominios de samba emitiendo uno de los siguientes comandos:

# samba-tool group addmembers your_domain_group your_domain_user
# samba-tool group remove members your_domain_group your_domain_user

12. Como se mencionó anteriormente, la interfaz de línea de comandos de samba-tool también se puede usar para administrar la política y seguridad de su dominio samba.

Para revisar la configuración de la contraseña de su dominio samba use el siguiente comando:

# samba-tool domain passwordsettings show

13. Para modificar la política de contraseña del dominio samba, como el nivel de complejidad de la contraseña, la caducidad de la contraseña, la cantidad de contraseña antigua que se debe recordar y otras funciones de seguridad necesarias para que un controlador de dominio use la siguiente captura de pantalla como Una guía.

---------- List all command options ---------- 
# samba-tool domain passwordsettings -h 

Nunca use las reglas de la política de contraseñas como se ilustra arriba en un entorno de producción. Los ajustes anteriores se utilizan sólo para fines de demostración.

Paso 2: Autenticación local de Samba usando cuentas de Active Directory

14. De forma predeterminada, los usuarios de AD no pueden realizar inicios de sesión locales en el sistema Linux fuera del entorno Samba AD DC .

Para iniciar sesión en el sistema con una cuenta Active Directory , debe realizar los siguientes cambios en el entorno de su sistema Linux y modificar Samba4 AD DC.

Primero, abra el archivo de configuración principal de samba y agregue las líneas siguientes, si faltan, como se ilustra en la captura de pantalla a continuación.

$ sudo nano /etc/samba/smb.conf

Asegúrese de que las siguientes declaraciones aparezcan en el archivo de configuración:

winbind enum users = yes
winbind enum groups = yes

15. Una vez que haya realizado los cambios, use la utilidad testparm para asegurarse de que no haya errores en el archivo de configuración de samba y reinicie los demonios de samba emitiendo el siguiente comando.

$ testparm
$ sudo systemctl restart samba-ad-dc.service

16. A continuación, debemos modificar los archivos de configuración de PAM locales para que las cuentas de Active Directory de Samba4 puedan autenticar y abrir una sesión en el sistema local y crear un hogar. Directorio para usuarios al inicio de sesión.

Use el comando pam-auth-update para abrir el mensaje de configuración de PAM y asegúrese de habilitar todos los perfiles de PAM con la tecla [espacio] como se ilustra en la captura de pantalla de abajo.

Cuando termine, pulse la tecla [Tab] para pasar a Ok y aplicar los cambios.

$ sudo pam-auth-update

17. Ahora, abra el archivo /etc/nsswitch.conf con un editor de texto y agregue declaración winbind al final de la contraseña y líneas de grupo como se ilustra en la captura de pantalla de abajo.

$ sudo vi /etc/nsswitch.conf

18. Finalmente, edite el archivo /etc/pam.d/common-password , busque la línea a continuación como se muestra en la captura de pantalla a continuación y elimine use_authtok declaración.

Esta configuración garantiza que los usuarios de Active Directory pueden cambiar su contraseña desde la línea de comandos mientras se autentican en Linux. Con esta configuración activada, los usuarios de AD autenticados localmente en Linux no pueden cambiar su contraseña desde la consola.

password       [success=1 default=ignore]      pam_winbind.so try_first_pass

Elimine la opción use_authtok cada vez que las actualizaciones PAM se instalen y apliquen a los módulos PAM o cada vez que ejecute el comando pam-auth-update .

19. Los binarios de Samba4 vienen con un demonio winbindd integrado y habilitado de forma predeterminada.

Por esta razón, ya no es necesario habilitar y ejecutar por separado el paquete winbind proporcionado por el winbind desde los repositorios oficiales de Ubuntu.

En caso de que el servicio antiguo y obsoleto winbind se inicie en el sistema, asegúrese de deshabilitarlo y detener el servicio emitiendo los siguientes comandos:

$ sudo systemctl disable winbind.service
$ sudo systemctl stop winbind.service

Aunque ya no necesitamos ejecutar el antiguo demonio winbind, también necesitamos instalar el paquete Winbind desde los repositorios para instalar y utilizar la herramienta wbinfo .

La utilidad Wbinfo se puede usar para consultar usuarios y grupos de Active Directory desde el punto de vista del daemon winbindd .

Los siguientes comandos ilustran cómo consultar usuarios y grupos de AD mediante wbinfo .

$ wbinfo -g
$ wbinfo -u
$ wbinfo -i your_domain_user

20. Además de la utilidad wbinfo , también puede usar la utilidad de línea de comandos getent para consultar la base de datos de Active Directory desde las bibliotecas de Switches de servicio de nombres que se representan en < archivo> /etc/nsswitch.conf fuerte.

Pase el comando getent a través de un filtro grep para restringir los resultados con respecto a su base de datos de usuarios o grupos de AD AD.

# getent passwd | grep TECMINT
# getent group | grep TECMINT

Paso 3: Iniciar sesión en Linux con un usuario de Active Directory

21. Para autenticarse en el sistema con un usuario de Samba4 AD , simplemente use el parámetro nombre de usuario de AD después de su - comando.

En el primer inicio de sesión, aparecerá un mensaje en la consola que le notificará que se ha creado un directorio de inicio en la ruta del sistema /home/ con la melena de su nombre de usuario de AD.

Use comando de identificación para mostrar información adicional sobre el usuario autenticado.

# su - your_ad_user
$ id
$ exit

22. Para cambiar la contraseña de un usuario de AD autenticado, escriba passwd command en la consola después de haber iniciado sesión correctamente en el sistema.

$ su - your_ad_user
$ passwd

23. Por defecto, a los usuarios de Active Directory no se les otorgan privilegios de root para realizar tareas administrativas en Linux.

Para otorgar poderes de raíz a un usuario de AD, debe agregar el nombre de usuario al grupo local sudo emitiendo el siguiente comando.

Asegúrese de incluir el reino , barra diagonal y nombre de usuario de AD con comillas simples ASCII .

# usermod -aG sudo 'DOMAIN\your_domain_user'

Para probar si el usuario de AD tiene privilegios de root en el sistema local, inicie sesión y ejecute un comando, como apt-get update , con permisos sudo.

# su - tecmint_user
$ sudo apt-get update

24. En caso de que desee agregar privilegios de raíz para todas las cuentas de un grupo de Active Directory, edite el archivo /etc/sudoers mediante el comando visudo y agregue la línea de abajo después de la línea de privilegios de root, como se ilustra en la captura de pantalla de abajo:

%DOMAIN\your_domain\  group ALL=(ALL:ALL) ALL

Presta atención a la sintaxis de sudoers para que no te resistas.

El archivo de Sudoers no maneja muy bien el uso de comillas ASCII , así que asegúrese de usar % para indicar que se está refiriendo a un grupo y use una barra diagonal inversa para evite la primera barra después del nombre de dominio y otra barra diagonal inversa para escapar de los espacios si el nombre de su grupo contiene espacios (la mayoría de los grupos integrados de AD contienen espacios de manera predeterminada). Además, escribe el reino con mayúsculas.

¡Eso es todo por ahora! La administración de Samba4 AD también se puede lograr con varias herramientas del entorno Windows, como ADUC , Administrador de DNS , GPM u otro, que puede obtenerse instalando el paquete RSAT desde la página de descarga de Microsoft.

Para administrar Samba4 AD DC a través de RSAT , es absolutamente necesario unirse al sistema de Windows en Active Directory de Samba4 . Este será el tema de nuestro próximo tutorial, hasta que estemos atentos a TecMint .

Todos los derechos reservados © Linux-Console.net • 2019-2021