Recherche de site Web

Comment gérer l'infrastructure Samba4 AD à partir de la ligne de commande Linux - Partie 2

Ce didacticiel couvrira certaines commandes quotidiennes de base que vous devez utiliser pour gérer l'infrastructure du Contrôleur de domaine Samba4 AD, telles que l'ajout, la suppression, la désactivation ou la liste des utilisateurs et des groupes.

Nous verrons également comment gérer la politique de sécurité du domaine et comment lier les utilisateurs AD à l'authentification PAM locale afin que les utilisateurs AD puissent effectuer des connexions locales sur le contrôleur de domaine Linux.

Exigences

  1. Créer une infrastructure AD avec Samba4 sur Ubuntu 16.04 – Partie 1
  2. Gérer l'infrastructure Active Directory Samba4 à partir de Windows10 via RSAT – Partie 3
  3. Gérer le DNS et la stratégie de groupe du contrôleur de domaine Samba4 AD à partir de Windows – Partie 4

Étape 1 : Gérer Samba AD DC à partir de la ligne de commande

1. Samba AD DC peut être géré via l'utilitaire de ligne de commande samba-tool qui offre une excellente interface pour administrer votre domaine.

Avec l'aide de l'interface samba-tool, vous pouvez gérer directement les utilisateurs et les groupes du domaine, la stratégie de groupe du domaine, les sites de domaine, les services DNS, la réplication de domaine et d'autres fonctions de domaine critiques.

Pour revoir toutes les fonctionnalités de samba-tool, tapez simplement la commande avec les privilèges root sans aucune option ni paramètre.

samba-tool -h

2. Maintenant, commençons à utiliser l'utilitaire samba-tool pour administrer Samba4 Active Directory et gérer nos utilisateurs.

Afin de créer un utilisateur sur AD utilisez la commande suivante :

samba-tool user add your_domain_user

Pour ajouter un utilisateur avec plusieurs champs importants requis par AD, utilisez la syntaxe suivante :

--------- review all options --------- 
samba-tool user add -h  
samba-tool user add your_domain_user --given-name=your_name --surname=your_username [email  --login-shell=/bin/bash

3. Une liste de tous les utilisateurs du domaine samba AD peut être obtenue en exécutant la commande suivante :

samba-tool user list

4. Pour supprimer un utilisateur de domaine samba AD, utilisez la syntaxe ci-dessous :

samba-tool user delete your_domain_user

5. Réinitialisez le mot de passe d'un utilisateur de domaine Samba en exécutant la commande ci-dessous :

samba-tool user setpassword your_domain_user

6. Afin de désactiver ou d'activer un compte utilisateur samba AD, utilisez la commande ci-dessous :

samba-tool user disable your_domain_user
samba-tool user enable your_domain_user

7. De même, les groupes samba peuvent être gérés avec la syntaxe de commande suivante :

--------- review all options --------- 
samba-tool group add –h  
samba-tool group add your_domain_group

8. Supprimez un groupe de domaines Samba en exécutant la commande ci-dessous :

samba-tool group delete your_domain_group

9. Pour afficher tous les groupes de domaines Samba, exécutez la commande suivante :

samba-tool group list

10. Pour lister tous les membres du domaine samba dans un groupe spécifique, utilisez la commande :

samba-tool group listmembers "your_domain group"

11. L'ajout/la suppression d'un membre d'un groupe de domaine samba peut être effectué en exécutant l'une des commandes suivantes :

samba-tool group addmembers your_domain_group your_domain_user
samba-tool group remove members your_domain_group your_domain_user

12. Comme mentionné précédemment, l'interface de ligne de commande de samba-tool peut également être utilisée pour gérer la politique et la sécurité de votre domaine samba.

Pour vérifier les paramètres de mot de passe de votre domaine samba, utilisez la commande ci-dessous :

samba-tool domain passwordsettings show

13. Afin de modifier la politique de mot de passe du domaine Samba, telle que le niveau de complexité du mot de passe, l'ancienneté du mot de passe, la longueur, le nombre d'anciens mots de passe à mémoriser et d'autres fonctionnalités de sécurité requises pour un contrôleur de domaine, utilisez la capture d'écran ci-dessous comme un guide.

---------- List all command options ---------- 
samba-tool domain passwordsettings -h

N'utilisez jamais les règles de politique de mot de passe illustrées ci-dessus dans un environnement de production. Les paramètres ci-dessus sont utilisés uniquement à des fins de démonstration.

Étape 2 : Authentification locale Samba à l'aide de comptes Active Directory

14. Par défaut, les utilisateurs AD ne peuvent pas effectuer de connexions locales sur le système Linux en dehors de l'environnement Samba AD DC.

Afin de vous connecter au système avec un compte Active Directory, vous devez apporter les modifications suivantes sur votre environnement système Linux et modifier Samba4 AD DC.

Tout d'abord, ouvrez le fichier de configuration principal de samba et ajoutez les lignes ci-dessous, si elles sont manquantes, comme illustré sur la capture d'écran ci-dessous.

sudo nano /etc/samba/smb.conf

Assurez-vous que les déclarations suivantes apparaissent sur le fichier de configuration :

winbind enum users = yes
winbind enum groups = yes

15. Après avoir effectué les modifications, utilisez l'utilitaire testparm pour vous assurer qu'aucune erreur n'est trouvée dans le fichier de configuration samba et redémarrez les démons samba en exécutant la commande ci-dessous.

testparm
sudo systemctl restart samba-ad-dc.service

16. Ensuite, nous devons modifier les fichiers de configuration PAM locaux afin que les comptes Samba4 Active Directory puissent s'authentifier et ouvrir une session sur le système local et créer un accueil. répertoire pour les utilisateurs lors de la première connexion.

Utilisez la commande pam-auth-update pour ouvrir l'invite de configuration PAM et assurez-vous d'activer tous les profils PAM à l'aide de la touche [espace] comme illustré dans la capture d'écran ci-dessous.

Une fois terminé, appuyez sur la touche [Tab] pour passer à Ok et appliquer les modifications.

sudo pam-auth-update

17. Maintenant, ouvrez le fichier /etc/nsswitch.conf avec un éditeur de texte et ajoutez une instruction winbind à la fin des lignes de mot de passe et de groupe. comme illustré sur la capture d'écran ci-dessous.

sudo vi /etc/nsswitch.conf

18. Enfin, modifiez le fichier /etc/pam.d/common-password, recherchez la ligne ci-dessous comme illustré sur la capture d'écran ci-dessous et supprimez le use_authtok<. déclaration.

Ce paramètre garantit que les utilisateurs d'Active Directory peuvent modifier leur mot de passe à partir de la ligne de commande lorsqu'ils sont authentifiés sous Linux. Avec ce paramètre activé, les utilisateurs AD authentifiés localement sous Linux ne peuvent pas modifier leur mot de passe depuis la console.

password       [success=1 default=ignore]      pam_winbind.so try_first_pass

Supprimez l'option use_authtok chaque fois que les mises à jour PAM sont installées et appliquées aux modules PAM ou chaque fois que vous exécutez la commande pam-auth-update.

19. Les binaires Samba4 sont livrés avec un démon winbindd intégré et activé par défaut.

Pour cette raison, vous n'êtes plus obligé d'activer et d'exécuter séparément le démon winbind fourni par le package winbind à partir des référentiels officiels Ubuntu.

Si l'ancien service winbind est démarré sur le système, assurez-vous de le désactiver et d'arrêter le service en exécutant les commandes ci-dessous :

sudo systemctl disable winbind.service
sudo systemctl stop winbind.service

Bien que nous n'ayons plus besoin d'exécuter l'ancien démon winbind, nous devons toujours installer le package Winbind à partir des référentiels afin d'installer et d'utiliser l'outil wbinfo.

L'utilitaire Wbinfo peut être utilisé pour interroger les utilisateurs et les groupes Active Directory du point de vue du démon winbindd.

Les commandes suivantes illustrent comment interroger les utilisateurs et les groupes AD à l'aide de wbinfo.

wbinfo -g
wbinfo -u
wbinfo -i your_domain_user

20. Outre l'utilitaire wbinfo, vous pouvez également utiliser l'utilitaire de ligne de commande getent pour interroger la base de données Active Directory à partir des bibliothèques Name Service Switch représentées dans wbinfo. fichier/etc/nsswitch.conf.

Dirigez la commande getent via un filtre grep afin d'affiner les résultats concernant uniquement votre base de données d'utilisateurs ou de groupes de domaine AD.

getent passwd | grep TECMINT
getent group | grep TECMINT

Étape 3 : Connectez-vous sous Linux avec un utilisateur Active Directory

21. Afin de vous authentifier sur le système avec un utilisateur Samba4 AD, utilisez simplement le paramètre AD username après su - commande.

Lors de la première connexion, un message s'affichera sur la console vous informant qu'un répertoire personnel a été créé sur le chemin système /home/$DOMAIN/ avec la crinière de votre nom d'utilisateur AD.

Utilisez la commande id pour afficher des informations supplémentaires sur l'utilisateur authentifié.

su - your_ad_user
id
exit

22. Pour modifier le mot de passe d'un utilisateur AD authentifié, tapez la commande passwd dans la console après vous être connecté avec succès au système.

su - your_ad_user
passwd

23. Par défaut, les utilisateurs Active Directory ne disposent pas des privilèges root pour effectuer des tâches administratives sous Linux.

Pour accorder les pouvoirs root à un utilisateur AD, vous devez ajouter le nom d'utilisateur au groupe sudo local en exécutant la commande ci-dessous.

Assurez-vous de placer le domaine, la slash et le nom d'utilisateur AD avec des guillemets simples ASCII.

usermod -aG sudo 'DOMAIN\your_domain_user'

Pour tester si l'utilisateur AD dispose des privilèges root sur le système local, connectez-vous et exécutez une commande, telle que apt-get update, avec les autorisations sudo.

su - tecmint_user
sudo apt-get update

24. Si vous souhaitez ajouter des privilèges root pour tous les comptes d'un groupe Active Directory, modifiez le fichier /etc/sudoers à l'aide de la commande visudo et ajoutez la ligne ci-dessous après la ligne des privilèges root, comme illustré sur la capture d'écran ci-dessous :

%DOMAIN\\your_domain\  group ALL=(ALL:ALL) ALL

Faites attention à la syntaxe sudoers afin de ne pas éclater les choses.

Le fichier Sudoers ne gère pas très bien l'utilisation des guillemets ASCII, alors assurez-vous d'utiliser % pour indiquer que vous faites référence à un groupe et utilisez une barre oblique inverse pour échappez la première barre oblique après le nom de domaine et une autre barre oblique inverse pour échapper aux espaces si le nom de votre groupe contient des espaces (la plupart des groupes intégrés AD contiennent des espaces par défaut). Écrivez également le domaine en majuscules.

C'est tout pour le moment! La gestion de l'infrastructure Samba4 AD peut également être réalisée avec plusieurs outils de l'environnement Windows, tels que ADUC, DNS Manager, GPM ou autre, qui peut être obtenu en installant le package RSAT à partir de la page de téléchargement de Microsoft.

Pour administrer Samba4 AD DC via les utilitaires RSAT, il est absolument nécessaire de connecter le système Windows à Samba4 Active Directory. Ce sera le sujet de notre prochain tutoriel, d'ici là restez connectés à TecMint.