Linux コマンドラインから Samba4 AD インフラストラクチャを管理する方法 - パート 2
このチュートリアルでは、ユーザーやグループの追加、削除、無効化、一覧表示など、Samba4 AD ドメイン コントローラー インフラストラクチャを管理するために使用する必要がある基本的な日常コマンドをいくつか取り上げます。
また、ドメイン セキュリティ ポリシーを管理する方法と、AD ユーザーが Linux ドメイン コントローラーでローカル ログインを実行できるようにするために、AD ユーザーをローカル PAM 認証にバインドする方法についても説明します。
要件
- Ubuntu 16.04 で Samba4 を使用して AD インフラストラクチャを作成する – パート 1
- Windows10 から RSAT 経由で Samba4 Active Directory インフラストラクチャを管理する – パート 3
- Windows から Samba4 AD ドメイン コントローラーの DNS とグループ ポリシーを管理する – パート 4
ステップ 1: コマンドラインから Samba AD DC を管理する
1. Samba AD DC は、ドメイン管理用の優れたインターフェイスを提供する samba-tool コマンド ライン ユーティリティを通じて管理できます。
samba ツール インターフェイスを使用すると、ドメイン ユーザーとグループ、ドメイン グループ ポリシー、ドメイン サイト、DNS サービス、ドメイン レプリケーション、およびその他の重要なドメイン機能を直接管理できます。
samba-tool の機能全体を確認するには、オプションやパラメーターを指定せずに、root 権限でコマンドを入力するだけです。
samba-tool -h
2. 次に、samba-tool ユーティリティを使用して Samba4 Active Directory を管理し、ユーザーを管理しましょう。
AD でユーザーを作成するには、次のコマンドを使用します。
samba-tool user add your_domain_user
AD に必要ないくつかの重要なフィールドを持つユーザーを追加するには、次の構文を使用します。
--------- review all options ---------
samba-tool user add -h
samba-tool user add your_domain_user --given-name=your_name --surname=your_username [email --login-shell=/bin/bash
3. すべての samba AD ドメイン ユーザーのリストは、次のコマンドを発行して取得できます。
samba-tool user list
4.samba AD ドメイン ユーザーを削除するには、以下の構文を使用します。
samba-tool user delete your_domain_user
5. 以下のコマンドを実行して、samba ドメイン ユーザーのパスワードをリセットします。
samba-tool user setpassword your_domain_user
6. samba AD ユーザー アカウントを無効または有効にするには、次のコマンドを使用します。
samba-tool user disable your_domain_user
samba-tool user enable your_domain_user
7. 同様に、samba グループは次のコマンド構文で管理できます。
--------- review all options ---------
samba-tool group add –h
samba-tool group add your_domain_group
8. 以下のコマンドを実行して、Samba ドメイン グループを削除します。
samba-tool group delete your_domain_group
9. すべての Samba ドメイン グループを表示するには、次のコマンドを実行します。
samba-tool group list
10. 特定のグループ内のすべての Samba ドメイン メンバーを一覧表示するには、次のコマンドを使用します。
samba-tool group listmembers "your_domain group"
11. Samba ドメイン グループへのメンバーの追加/削除は、次のコマンドのいずれかを実行することで実行できます。
samba-tool group addmembers your_domain_group your_domain_user
samba-tool group remove members your_domain_group your_domain_user
12. 前述したように、samba-tool コマンド ライン インターフェイスは、samba ドメイン ポリシーとセキュリティの管理にも使用できます。
Samba ドメインのパスワード設定を確認するには、次のコマンドを使用します。
samba-tool domain passwordsettings show
13. パスワードの複雑さレベル、パスワードの有効期限、長さ、覚えておくべき古いパスワードの数、およびドメイン コントローラーに必要なその他のセキュリティ機能などの samba ドメイン パスワード ポリシーを変更するには、次のスクリーンショットを使用します。ガイド。
---------- List all command options ----------
samba-tool domain passwordsettings -h
運用環境では、上記のパスワード ポリシー ルールを決して使用しないでください。上記の設定は、デモンストレーションのみを目的として使用されています。
ステップ 2: Active Directory アカウントを使用した Samba ローカル認証
14. デフォルトでは、AD ユーザーは Samba AD DC 環境外の Linux システムでローカル ログインを実行できません。
Active Directory アカウントを使用してシステムにログインするには、Linux システム環境で次の変更を加え、Samba4 AD DC を変更する必要があります。
まず、samba のメイン構成ファイルを開き、以下の行が欠落している場合は追加します (以下のスクリーンショットを参照)。
sudo nano /etc/samba/smb.conf
次のステートメントが構成ファイルに含まれていることを確認してください。
winbind enum users = yes
winbind enum groups = yes
15. 変更を加えた後、testparm ユーティリティを使用して samba 設定ファイルにエラーが見つからないことを確認し、以下のコマンドを発行して samba デーモンを再起動します。
testparm
sudo systemctl restart samba-ad-dc.service
16. 次に、Samba4 Active Directory アカウントが認証してローカル システム上でセッションを開いてホームを作成できるように、ローカル PAM 構成ファイルを変更する必要があります。ユーザーが最初にログインするときのディレクトリ。
pam-auth-update コマンドを使用して PAM 構成プロンプトを開き、以下のスクリーンショットに示すように、[space]
キーを使用してすべての PAM プロファイルを有効にしてください。
終了したら、[Tab]
キーを押して [Ok] に移動し、変更を適用します。
sudo pam-auth-update
17. 次に、テキスト エディタで /etc/nsswitch.conf ファイルを開き、パスワード行とグループ行の末尾にwinbind ステートメントを追加します。以下のスクリーンショットに示されているように。
sudo vi /etc/nsswitch.conf
18. 最後に、/etc/pam.d/common-password ファイルを編集し、以下のスクリーンショットに示すように以下の行を検索し、use_authtok< ステートメント。
この設定により、Active Directory ユーザーは Linux での認証中にコマンド ラインからパスワードを変更できるようになります。この設定をオンにすると、Linux 上でローカルに認証された AD ユーザーはコンソールからパスワードを変更できなくなります。
password [success=1 default=ignore] pam_winbind.so try_first_pass
PAM アップデートがインストールされて PAM モジュールに適用されるたび、または pam-auth-update コマンドを実行するたびに、use_authtok オプションを削除します。
19. Samba4 バイナリには winbindd デーモンが組み込まれており、デフォルトで有効になっています。
このため、公式 Ubuntu リポジトリの winbind パッケージによって提供される winbind デーモンを個別に有効にして実行する必要がなくなりました。
古い非推奨のwinbind サービスがシステム上で開始されている場合は、以下のコマンドを実行してサービスを無効にし、サービスを停止してください。
sudo systemctl disable winbind.service
sudo systemctl stop winbind.service
古い winbind デーモンを実行する必要はなくなりましたが、wbinfo ツールをインストールして使用するには、リポジトリから Winbind パッケージをインストールする必要があります。
Wbinfo ユーティリティを使用すると、winbindd デーモンの観点から Active Directory ユーザーとグループをクエリできます。
次のコマンドは、wbinfo を使用して AD ユーザーとグループをクエリする方法を示しています。
wbinfo -g
wbinfo -u
wbinfo -i your_domain_user
20. wbinfo ユーティリティとは別に、getent コマンド ライン ユーティリティを使用して、< で表されるネーム サービス スイッチ ライブラリから Active Directory データベースにクエリを実行することもできます。/etc/nsswitch.confファイル。
AD レルム ユーザーまたはグループ データベースのみに関する結果を絞り込むために、getent コマンドを grep フィルタにパイプします。
getent passwd | grep TECMINT
getent group | grep TECMINT
ステップ 3: Active Directory ユーザーを使用して Linux にログインする
21. Samba4 AD ユーザーを使用してシステムで認証するには、su -の後に AD ユーザー名 パラメータを使用するだけです。code>コマンド。
最初のログイン時に、AD ユーザー名の名前でホーム ディレクトリが /home/$DOMAIN/
システム パスに作成されたことを通知するメッセージがコンソールに表示されます。
認証されたユーザーに関する追加情報を表示するには、id コマンドを使用します。
su - your_ad_user
id
exit
22. 認証された AD ユーザーのパスワードを変更するには、システムに正常にログインした後、 コンソールでpasswd コマンドを入力します。
su - your_ad_user
passwd
23. デフォルトでは、Active Directory ユーザーには、Linux 上で管理タスクを実行するための root 権限が付与されていません。
AD ユーザーに root 権限を付与するには、以下のコマンドを実行して、ローカルのsudo グループにユーザー名を追加する必要があります。
レルム、スラッシュ、およびAD ユーザー名を必ず単一のASCII引用符で囲んでください。
usermod -aG sudo 'DOMAIN\your_domain_user'
AD ユーザーがローカル システム上で root 権限を持っているかどうかをテストするには、ログインし、sudo 権限でapt-get update などのコマンドを実行します。
su - tecmint_user
sudo apt-get update
24. Active Directory グループのすべてのアカウントに root 権限を追加する場合は、visudo コマンドを使用して /etc/sudoers ファイルを編集し、以下のスクリーンショットに示すように、root 権限の行の後に次の行を追加します。
%DOMAIN\\your_domain\ group ALL=(ALL:ALL) ALL
問題が発生しないように、sudoers 構文に注意してください。
Sudoers ファイルでは、ASCII 引用符の使用がうまく処理されないため、必ず %
を使用してグループを参照していることを示し、バックスラッシュを使用してください。グループ名にスペースが含まれている場合は、ドメイン名の後の最初のスラッシュともう 1 つのバックスラッシュをエスケープして、スペースをエスケープします (ほとんどの AD 組み込みグループにはデフォルトでスペースが含まれています)。また、レルムは大文字で記述してください。
それは今のところすべてです! Samba4 AD インフラストラクチャの管理は、ADUC、DNS マネージャー、GPMなどの Windows 環境のいくつかのツールを使用して実現することもできます。 > またはその他。Microsoft ダウンロード ページからRSAT パッケージをインストールすることで入手できます。
RSAT ユーティリティを通じて Samba4 AD DC を管理するには、Windows システムを Samba4 Active Directory に参加させることが絶対に必要です。これは次のチュートリアルの主題になりますが、それまではTecMint にご注目ください。