Linux buýruk setirinden Samba4 AD infrastrukturasyny nädip dolandyrmaly - 2-nji bölüm

Bu gollanma, Samba4 AD Domain Controller infrastrukturasyny dolandyrmak üçin ulanyjylaryň we toparlaryň goşulmagy, aýrylmagy, öçürilmegi ýa-da sanawlaşdyrylmagy ýaly gündelik esasy buýruklary öz içine alar.

Şeýle hem, domen howpsuzlygy syýasatyny nädip dolandyrmalydygyna we AD ulanyjylarynyň Linux Domain Controller-de ýerli girişleri ýerine ýetirip bilmekleri üçin AD ulanyjylaryny ýerli PAM tassyklamasyna nädip baglamalydygyna göz aýlarys.

1. Ubuntu 16.04-de Samba4 bilen AD infrastrukturasyny dörediň - 1-nji bölüm
2. Samba4 işjeň katalog infrastrukturasyny Windows10-dan RSAT arkaly dolandyryň - 3-nji bölüm
3. Samba4 AD Domain Controller DNS we Windows-dan Topar Syýasatyny dolandyryň - 4-nji bölüm

1-nji ädim: Samba AD DC-ni buýruk setirinden dolandyryň

1. Samba AD DC, domeniňizi dolandyrmak üçin ajaýyp interfeýs hödürleýän samba-tool buýruk setiri kömegi bilen dolandyrylyp bilner.

Samba-gural interfeýsiniň kömegi bilen domen ulanyjylaryny we toparlaryny, domen topar syýasaty, domen saýtlary, DNS hyzmatlary, domen köpeltmek we beýleki möhüm domen funksiýalaryny gönüden-göni dolandyryp bilersiňiz.

Samba-guralyň ähli işleýşini gözden geçirmek üçin hiç hili opsiýa ýa-da parametr bolmazdan buýrugy kök aýratynlyklary bilen ýazyň.

# samba-tool -h

2. Indi, Samba4 Active Directory dolandyrmak we ulanyjylarymyzy dolandyrmak üçin samba-tool kömekçi programmasyny ulanmaga başlalyň.

AD-da ulanyjy döretmek üçin aşakdaky buýrugy ulanyň:

# samba-tool user add your_domain_user

AD tarapyndan talap edilýän birnäçe möhüm meýdanly ulanyjy goşmak üçin aşakdaky sintaksis ulanyň:

--------- review all options --------- 
# samba-tool user add -h  
# samba-tool user add your_domain_user --given-name=your_name --surname=your_username [email  --login-shell=/bin/bash

3. samba AD domen ulanyjylarynyň sanawyny aşakdaky buýrugy bermek arkaly alyp bilersiňiz:

# samba-tool user list

4. Samba AD domen ulanyjysyny ýok etmek üçin aşakdaky sintaksis ulanyň:

# samba-tool user delete your_domain_user

5. Aşakdaky buýrugy ýerine ýetirip, samba domen ulanyjy parolyny täzeden düzüň:

# samba-tool user setpassword your_domain_user

6. Samba AD ulanyjy hasabyny öçürmek ýa-da işletmek üçin aşakdaky buýrugy ulanyň:

# samba-tool user disable your_domain_user
# samba-tool user enable your_domain_user

7. Edil şonuň ýaly, samba toparlaryny aşakdaky buýruk sintaksis bilen dolandyryp bolýar:

--------- review all options --------- 
# samba-tool group add –h  
# samba-tool group add your_domain_group

8. Aşakdaky buýrugy bermek bilen samba domen toparyny pozuň:

# samba-tool group delete your_domain_group

9. samba domen toparlarynyň hemmesini görkezmek üçin aşakdaky buýrugy işlediň:

# samba-tool group list

10. Belli bir topardaky samba domen agzalarynyň hemmesini sanamak üçin buýrugy ulanyň:

# samba-tool group listmembers "your_domain group"

11. Samba domen toparyndan bir agzany goşmak/aýyrmak aşakdaky buýruklaryň birini bermek arkaly amala aşyrylyp bilner:

# samba-tool group addmembers your_domain_group your_domain_user
# samba-tool group remove members your_domain_group your_domain_user

12. Öň bellenip geçilişi ýaly, samba-domen syýasaty we howpsuzlygy dolandyrmak üçin samba-tool buýruk setiri interfeýsi hem ulanylyp bilner.

Samba domen parol sazlamalaryňyzy gözden geçirmek üçin aşakdaky buýrugy ulanyň:

# samba-tool domain passwordsettings show

13. Samba domen parol syýasatyny üýtgetmek üçin, parolyň çylşyrymlylygy derejesi, parolyň garramagy, uzynlygy, näçe köne paroly ýatda saklamaly we Domain Controller üçin zerur bolan beýleki howpsuzlyk aýratynlyklary aşakdaky skrinshoty gollanma hökmünde ulanýar.

---------- List all command options ---------- 
# samba-tool domain passwordsettings -h 

Hiç haçan önümçilik gurşawynda ýokarda görkezilişi ýaly parol syýasatynyň düzgünlerini ulanmaň. Aboveokardaky sazlamalar diňe görkezmek üçin ulanylýar.

2-nji ädim: Işjeň katalog hasaplaryny ulanyp, Samba ýerli tanamak

14. Düzgüne görä, AD ulanyjylary Samba AD DC gurşawynyň daşyndaky Linux ulgamynda ýerli girişleri ýerine ýetirip bilmeýärler.

“Active Directory” hasaby bilen ulgama girmek üçin Linux ulgam gurşawyňyzda aşakdaky üýtgeşmeleri girizmeli we Samba4 AD DC üýtgetmeli.

Ilki bilen samba esasy konfigurasiýa faýlyny açyň we aşakdaky skrinshotda görkezilişi ýaly ýok bolsa, aşakdaky setirleri goşuň.

$ sudo nano /etc/samba/smb.conf

Sazlama faýlynda aşakdaky jümleleriň bardygyna göz ýetiriň:

winbind enum users = yes
winbind enum groups = yes

15. Üýtgeşmeler girizeniňizden soň, samba konfigurasiýa faýlynda ýalňyşlyklaryň ýokdugyna göz ýetirmek üçin testparm programmasyny ulanyň we aşakdaky buýrugy bermek bilen samba daemonlaryny täzeden açyň.

$ testparm
$ sudo systemctl restart samba-ad-dc.service

16. Ondan soň, Samba4 Active Directory hasaplarynyň ýerli ulgamda bir sessiýany tassyklamak we açmak we ilkinji girişde ulanyjylar üçin öý bukjasyny döretmek üçin ýerli PAM konfigurasiýa faýllaryny üýtgetmeli.

PAM konfigurasiýa islegini açmak we aşakdaky skrinshotda görkezilişi ýaly [space] düwmesini ulanyp, ähli PAM profillerini açýandygyňyzy anyklamak üçin pam-auth-update buýrugyny ulanyň.

Gutarandan soň Ok-a geçmek we üýtgeşmeler girizmek üçin [Tab] düwmesine basyň.

$ sudo pam-auth-update

17. Indi, tekst redaktory bilen /etc/nsswitch.conf faýly açyň we aşakdaky skrinshotda görkezilişi ýaly parolyň we topar setirleriniň soňunda winbind beýany goşuň.

$ sudo vi /etc/nsswitch.conf

18. Netijede, /etc/pam.d/common-password faýlyny redaktirläň, aşakdaky skrinshotda görkezilişi ýaly aşakdaky setiri gözläň we use_authtok sözlemini aýyryň.

Bu sazlama, “Active Directory” ulanyjylarynyň Linux-da tassyklanylanda parollaryny buýruk setirinden üýtgedip biljekdigine kepil geçýär. Bu sazlama bilen, Linux-da ýerli tassyklanan AD ulanyjylary parolyny konsoldan üýtgedip bilmeýärler.

password       [success=1 default=ignore]      pam_winbind.so try_first_pass

Her gezek PAM täzelenmeleri gurlanda we PAM modullaryna ulanylanda ýa-da her gezek pam-auth-update buýrugyny ýerine ýetireniňizde use_authtok opsiýasyny aýyryň.

19. Samba4 ikilikçi, winbindd daemon bilen gurlan we deslapky görnüşde işledilen.

Şol sebäpli indi resmi Ubuntu ammarlaryndan winbind bukjasy bilen üpjün edilen winbind daemonyny aýratyn işletmek we işletmek talap edilmeýär.

Ulgamda köne we könelişen winbind hyzmaty başlanan ýagdaýynda, aşakdaky buýruklary bermek bilen ony öçüriň we hyzmaty bes ediň:

$ sudo systemctl disable winbind.service
$ sudo systemctl stop winbind.service

Indi köne winbind daemonyny işletmek zerurlygy ýok bolsa-da, wbinfo guralyny gurmak we ulanmak üçin henizem ammarlardan Winbind paketini gurmaly.

“Wbinfo” programmasy, “Active Directory” ulanyjylaryny we toparlaryny winbindd daemon nukdaýnazaryndan soramak üçin ulanylyp bilner.

Aşakdaky buýruklar, wbinfo ulanyp, AD ulanyjylaryny we toparlaryny nädip soramalydygyny görkezýär.

$ wbinfo -g
$ wbinfo -u
$ wbinfo -i your_domain_user

20. “wbinfo” kömekçi enjamyndan başga-da /etc/nsswitch.conf faýlynda görkezilen “Name Service Switch” kitaphanalaryndan “Active Directory” maglumat bazasyny soramak üçin getent buýruk setiriniň peýdalylygyny ulanyp bilersiňiz.

Diňe AD sebitiňizdäki ulanyjy ýa-da topar maglumatlar bazasy bilen baglanyşykly netijeleri daraltmak üçin grep süzgüji arkaly turba getent buýrugy.

# getent passwd | grep TECMINT
# getent group | grep TECMINT

3-nji ädim: “Active Directory Ulanyjy” bilen Linux-a giriň

21. Samba4 AD ulanyjysy bilen ulgamda hakykylygyny tassyklamak üçin, su - buýrugyndan soň AD ulanyjy adynyň parametrini ulanyň.

Ilkinji girişde konsolda AD ulanyjy adyňyzyň ady bilen /home/$DOMAIN/ ulgam ýolunda öý katalogynyň döredilendigi barada habar görkeziler.

Hakyky ulanyjy barada goşmaça maglumat görkezmek üçin id buýrugyny ulanyň.

# su - your_ad_user
$ id
$ exit

22. Ulgamyňyza üstünlikli gireniňizden soň konsolda tassyklanan AD ulanyjy tipli passwd buýrugy üçin paroly üýtgetmek.

$ su - your_ad_user
$ passwd

23. Adaty tertipde, Linux-da administratiw meseleleri ýerine ýetirmek üçin “Active Directory” ulanyjylaryna kök artykmaçlyklary berilmeýär.

AD ulanyjysyna kök ygtyýarlyklaryny bermek üçin aşakdaky buýrugy bermek bilen ulanyjy adyny ýerli sudo toparyna goşmaly.

ASeke-täk ASCII sitatasy bilen meýdany, çyzgy we AD ulanyjy adyny gurşap alyň.

# usermod -aG sudo 'DOMAIN\your_domain_user'

AD ulanyjysynyň ýerli ulgamda kök aýratynlyklarynyň bardygyny ýa-da ýokdugyny barlamak üçin sudo rugsatlary bilen apt-get update ýaly buýrugy giriň we işlediň.

# su - tecmint_user
$ sudo apt-get update

24. “Active Directory” toparynyň ähli hasaplary üçin kök artykmaçlyklary goşmak isleseňiz, visudo buýrugyny ulanyp/etc/sudoers faýlyny redaktirläň we aşakdaky skrinshotda görkezilişi ýaly kök aýratynlyklar setirinden soň aşakdaky setiri goşuň:

%DOMAIN\\your_domain\  group ALL=(ALL:ALL) ALL

Sudo sintaksisine üns beriň, zatlary bozmaz ýaly.

Sudoers faýly ASCII dyrnak bellikleriniň ulanylyşyny gowy alyp barmaýar, şonuň üçin bir topara degişlidigiňizi görkezmek we domenden soň ilkinji çyzgydan gutulmak üçin arka kody ulanýandygyňyzy anyklamak üçin % ulanyň. Toparyňyzyň ady boşluklary öz içine alýan bolsa, boşluklardan gaçmak üçin ady we başga bir yza gaýdyş (AD-da gurlan toparlaryň köpüsinde boş ýerler bar). Şeýle hem, älemi baş harplar bilen ýazyň.

Bularyň hemmesi häzirlikçe! Samba4 AD infrastrukturasyny dolandyrmak, Windows göçürip almak sahypasyndan RSAT paketini gurmak arkaly alyp boljak ADUC, DNS Manager, GPM ýa-da başga bir gurşaw ýaly Windows gurşawyndaky birnäçe gural bilen hem gazanylyp bilner.

Samba4 AD DC-ni RSAT hyzmatlary arkaly dolandyrmak üçin Windows ulgamyna Samba4 Active Directory-e goşulmak hökmanydyr. Bu, indiki sapagymyzyň mowzugy bolar, şoňa çenli TecMint bilen habarlaşyň.