本文包括一些在管理Samba4域控制器结构过程中的常用命令,例如添加、删除、禁用或列出用户和用户组等,我们也会关注如何配置域安全策略以及如何将AD用户绑定到本地PAM认证,使AD用户可以在Linux域控制器本地登录。需要在Ubuntu系统上使用Samba4来创建活动目录架构。第一步:命令行下管理1.可以通过samba-tool命令行工具进行管理,它为域管理提供了强大的管理界面。通过samba-tool命令行界面,您可以直接管理域用户和用户组、域组策略、域站点、DNS服务、域复制关系以及其他重要的域功能。使用root权限的账号,不加任何参数选项,直接输入samba-tool命令即可查看该工具能实现的所有功能。#samba-tool-hsamba-tool——Samba管理工具2.现在,让我们开始使用samba-tool工具来管理Samba4ActiveDirectory中的用户。使用如下命令创建AD用户:#samba-tooluseraddyour_domain_user添加用户,包括AD的一些重要属性,如下:--------reviewalloptions--------#samba-tooluseradd-h#samba-tooluseraddyour_domain_user--given-name=your_name--surname=your_username--mail-address=your_domain_user@tecmint.lan--login-shell=/bin/bash在SambaAD3上创建用户。是使用以下命令列出所有SambaAD域用户:#samba-tooluserlistlistSambaAD用户信息4.使用以下命令删除SambaAD域用户:#samba-tooluserdeleteyour_domain_user5。重置Samba域用户的密码:#samba-toolusersetpasswordyour_domain_user6。启用或禁用Samba域用户帐户:#samba-tooluserdisableyour_domain_user#samba-tooluserenableyour_domain_user7。同样,可以使用以下方法管理Samba用户组:--------reviewalloptions---------#samba-toolgroupadd–h#samba-toolgroupaddyour_domain_group8,删除samba域用户组:#samba-toolgroupdeleteyour_domain_group9,显示所有Samba域用户组信息:#samba-toolgrouplist10,列出指定组下的Samba域用户:#samba-toolgrouplistmembers"your_domaingroup"列出Samba域用户组11.添加或删除用户Samba域组:#samba-toolgroupaddmembersyour_domain_gryouyour_domain_user#samba-toolgroupremovemembersyour_domain_groupyour_domain_user12。上面提到了samba-tool命令行工具也可以用来管理Samba域策略和安全查看samba域密码设置:#samba-tooldomainpasswordsettingsshowcheckSambadomainpassword13.修改samba域密码策略,比如密码复杂度、密码过期时间、密码长度、密码重复次数等域控制器需要的安全策略,可参考以下命令完成:------------Listallcommandoptions----------#samba-tooldomainpasswordsettings-h管理Samba域密码策略生产环境不要使用上图中的密码策略规则。上述策略仅用于演示目的。第二步:使用活动目录账号完成Samba本地认证14、默认情况下,离开SambaADDC环境,AD用户无法在本地登录Linux系统。为了让activedirectory账号能够登录系统,必须在linux系统环境中进行如下设置,修改Samba4ADDC配置。首先,打开主Samba配置文件。如果以下内容不存在,则添加:$sudonano/etc/samba/smb.conf确保配置文件中出现以下参数:winbindenumusers=yeswinbindenumgroups=yesSamba使用AD用户账号进行认证15、修改后,使用testparm工具验证配置文件没有错误,然后通过以下命令重启Samba服务:$testparm$sudosystemctlrestartsamba-ad-dc.service查看Samba配置文件是否报错16.接下来,我们需要修改本地的PAM配置文件,让Samba4ActiveDirectory账号在首次登录系统时完成本地认证,开启会话,创建用户目录。使用pam-auth-update命令打开PAM配置提示界面,使用【Space】键确认所有PAM选项都已启用,如下图:完成后按【Tab】键跳转到OK以启用修改。$sudopam-auth-update为Samba4AD配置PAM身份验证为Samba4AD用户启用PAM身份验证模块为Samba4AD用户启用PAM身份验证模块17.现在,使用文本编辑器打开/etc/nsswitch.conf配置文件,在passwd并在参数的第一页添加winbind参数,如下图:$sudovi/etc/nsswitch.conf为Samba服务18.***添加Winbind服务开关设置,编辑/etc/pam.confd/common-password文件,找到下图所示的行,删除user_authtok参数。此设置确保AD用户在Linux系统本地验证后可以在命令行更改密码。使用此参数,本地认证的AD用户无法在控制台下更改其密码。password[success=1default=ignore]pam_winbind.sotry_first_pass允许SambaAD用户更改密码在每次PAM更新安装完成并应用于PAM模块后,或者每次执行pam-auth-update命令时,您需要删除使用_authtok参数。19.Samba4二进制文件会生成一个内置的winindd进程,默认是开启的。因此,您无需再次启用和运行Ubuntu系统自带的官方winbind服务。为防止系统中启动原有过时的winbind服务,请务必执行以下命令禁用并停止原有的winbind服务。$sudosystemctldisablewinbind.service$sudosystemctlstopwinbind.service虽然我们不再需要运行原来的winbind进程,但是为了安装和使用wbinfo工具,我们还得从系统软件仓库中安装Winbind包。wbinfo工具可用于从winbindd进程端查询ActiveDirectory用户和组。以下命令显示如何使用wbinfo命令查询AD用户和组信息。$wbinfo-g$wbinfo-u$wbinfo-iyour_domain_user查看Samba4AD信息查看Samba4AD用户信息20、除了wbinfo工具,还可以使用getent命令行工具从NameService查询活动目录信息库开关库,在/etc/nsswitch.conf配置文件中有相关说明。使用管道符过滤getent命令通过grep命令得到的结果集,获取存储库中的AD域用户和组信息。#getentpasswd|grepTECMINT#getentgroup|grepTECMINT查看Samba4AD详细信息第三步:使用activedirectory账户登录Linux系统21.为了使用Samba4AD用户登录系统,使用su-命令切换到AD用户帐户。首次登录系统后,控制台会有消息提示用户家目录已创建,系统路径在/home/$DOMAIN/下,名称为用户的AD账号姓名。使用id命令查询其他登录用户信息。#su-your_ad_user$id$exitLinux下查看Samba4AD用户认证结果22.登录成功后,在控制台输入passwd命令修改登录AD用户的密码。$su-your_ad_user$passwd修改Samba4AD用户密码23.默认情况下,ActiveDirectory用户没有root权限来完成系统管理工作。要向AD用户授予root权限,您必须将用户名添加到本地sudo组,这可以使用以下命令完成。确保您已输入域、斜杠和AD用户名,并将它们括在单引号中,如下所示:#usermod-aGsudo'DOMAIN\your_domain_user'要检查AD用户是否在本地系统上具有root权限,请登录并执行例如,一个命令以sudo权限执行apt-getupdate命令。#su-tecmint_user$sudoapt-getupdate授予Samba4AD用户sudo权限24.如果要给activedirectory组内的所有账户root权限,使用visudo命令编辑/etc/sudoers配置文件,在root权限行如下内容:%DOMAIN\\your_domain\groupALL=(ALL:ALL)ALL注意/etc/sudoers的格式,不要乱写。/etc/sudoers配置文件不能很好地处理ASCII引号字符,因此请务必使用'%'来标识用户组,使用反斜杠转义域名后的第一个斜杠,如果您的组名包含空格(大多数AD内置组默认包含空格)用额外的反斜杠转义空格。并且该字段的名称是大写的。向所有Samba4用户授予sudo权限,仅此而已!管理Samba4AD结构,还可以使用Windows环境下的其他几个工具,如ADUC、DNS管理器、GPM等,这些工具可以从微软官网下载安装RSAT包获取。要通过RSAT工具管理Samba4ADDC,您必须将Windows系统添加到Samba4ActiveDirectory。这将是我们下一篇文章的重点,敬请期待。
