在Linux命令行下管理Samba4 AD架构

这篇文章包括了管理 Samba4 域控制器架构过程中的一些常用命令,比如添加、移除、禁用或者列出用户及用户组等。

我们也会关注一下如何配置域安全策略以及如何把 AD 用户绑定到本地的 PAM 认证中,以实现 AD 用户能够在 Linux 域控制器上进行本地登录。

要求

  • 在 Ubuntu 系统上使用 Samba4 来创建活动目录架构

第一步:在命令行下管理

1、 可以通过 samba-tool 命令行工具来进行管理,这个工具为域管理工作提供了一个功能强大的管理接口。

通过 samba-tool 命令行接口,你可以直接管理域用户及用户组、域组策略、域站点,DNS 服务、域复制关系和其它重要的域功能。

使用 root 权限的账号,直接输入 samba-tool 命令,不要加任何参数选项来查看该工具能实现的所有功能。


  1. # samba-tool -h  

samba-tool —— Samba 管理工具

2、 现在,让我们开始使用 samba-tool 工具来管理 Samba4 活动目录中的用户。

使用如下命令来创建 AD 用户:


  1. # samba-tool user add your_domain_user 

添加一个用户,包括 AD 可选的一些重要属性,如下所示:


  1. --------- review all options ---------  
  2. # samba-tool user add -h   
  3. # samba-tool user add your_domain_user --given-name=your_name --surname=your_username --mail-address=your_domain_user@tecmint.lan --login-shell=/bin/bash  

在 Samba AD 上创建用户

3、 可以通过下面的命令来列出所有 Samba AD 域用户:


  1. # samba-tool user list  

列出 Samba AD 用户信息

4、 使用下面的命令来删除 Samba AD 域用户:


  1. # samba-tool user delete your_domain_user 

5、 重置 Samba 域用户的密码:


  1. # samba-tool user setpassword your_domain_user 

6、 启用或禁用 Samba 域用户账号:


  1. # samba-tool user disable your_domain_user 
  2. # samba-tool user enable your_domain_user 

7、 同样地,可以使用下面的方法来管理 Samba 用户组:


  1. --------- review all options ---------  
  2. # samba-tool group add –h   
  3. # samba-tool group add your_domain_group 

8、 删除 samba 域用户组:


  1. # samba-tool group delete your_domain_group 

9、 显示所有的 Samba 域用户组信息:


  1. # samba-tool group list 

10、 列出指定组下的 Samba 域用户:


  1. # samba-tool group listmembers "your_domain group"  

列出 Samba 域用户组

11、 从 Samba 域组中添加或删除某一用户:


  1. # samba-tool group addmembers your_domain_group your_domain_user 
  2. # samba-tool group remove members your_domain_group your_domain_user 

12、 如上面所提到的, samba-tool 命令行工具也可以用于管理 Samba 域策略及安全。

查看 samba 域密码设置:


  1. # samba-tool domain passwordsettings show  

检查 Samba 域密码

13、 为了修改 samba 域密码策略,比如密码复杂度,密码失效时长,密码长度,密码重复次数以及其它域控制器要求的安全策略等,可参照如下命令来完成:


  1. ---------- List all command options ----------  
  2. # samba-tool domain passwordsettings -h   

管理 Samba 域密码策略

不要把上图中的密码策略规则用于生产环境中。上面的策略仅仅是用于演示目的。

第二步:使用活动目录账号来完成 Samba 本地认证

14、 默认情况下,离开 Samba AD DC 环境,AD 用户不能从本地登录到 Linux 系统。

为了让活动目录账号也能登录到系统,你必须在 Linux 系统环境中做如下设置,并且要修改 Samba4 AD DC 配置。

首先,打开 Samba 主配置文件,如果以下内容不存在,则添加:


  1. $ sudo nano /etc/samba/smb.conf 

确保以下参数出现在配置文件中:


  1. winbind enum users = yes 
  2. winbind enum groups = yes  

Samba 通过 AD 用户账号来进行认证

15、 修改之后,使用 testparm 工具来验证配置文件没有错误,然后通过如下命令来重启 Samba 服务:


  1. $ testparm 
  2. $ sudo systemctl restart samba-ad-dc.service  

检查 Samba 配置文件是否报错

16、 下一步,我们需要修改本地 PAM 配置文件,以让 Samba4 活动目录账号能够完成本地认证、开启会话,并且在第一次登录系统时创建一个用户目录。

使用 pam-auth-update 命令来打开 PAM 配置提示界面,确保所有的 PAM 选项都已经使用 [空格] 键来启用,如下图所示:

完成之后,按 [Tab] 键跳转到 OK ,以启用修改。


  1. $ sudo pam-auth-update  

为 Samba4 AD 配置 PAM 认证

Enable PAM Authentication Module for Samba4 AD Users

为 Samba4 AD 用户启用 PAM认证模块

17、 现在,使用文本编辑器打开 /etc/nsswitch.conf 配置文件,在 passwd 和 group 参数的最后面添加 winbind 参数,如下图所示:


  1. $ sudo vi /etc/nsswitch.conf  

为 Samba 服务添加 Winbind Service Switch 设置

18、 最后,编辑 /etc/pam.d/common-password 文件,查找下图所示行并删除 user_authtok 参数。

该设置确保 AD 用户在通过 Linux 系统本地认证后,可以在命令行下修改他们的密码。有这个参数时,本地认证的 AD 用户不能在控制台下修改他们的密码。


  1. password [success=1 default=ignore] pam_winbind.so try_first_pass  

允许 Samba AD 用户修改密码

在每次 PAM 更新安装完成并应用到 PAM 模块,或者你每次执行 pam-auth-update 命令后,你都需要删除 use_authtok 参数。

19、 Samba4 的二进制文件会生成一个内建的 windindd 进程,并且默认是启用的。

因此,你没必要再次去启用并运行 Ubuntu 系统官方自带的 winbind 服务。

为了防止系统里原来已废弃的 winbind 服务被启动,确保执行以下命令来禁用并停止原来的 winbind 服务。


  1. $ sudo systemctl disable winbind.service 
  2. $ sudo systemctl stop winbind.service 

虽然我们不再需要运行原有的 winbind 进程,但是为了安装并使用 wbinfo 工具,我们还得从系统软件库中安装 Winbind 包。

wbinfo 工具可以用来从 winbindd 进程侧来查询活动目录用户和组。

以下命令显示了使用 wbinfo 命令如何查询 AD 用户及组信息。


  1. $ wbinfo -g 
  2. $ wbinfo -u 
  3. $ wbinfo -i your_domain_user  

检查 Samba4 AD 信息

检查 Samba4 AD 用户信息

20、 除了 wbinfo 工具外,你也可以使用 getent 命令行工具从 Name Service Switch 库中查询活动目录信息库,在 /etc/nsswitch.conf 配置文件中有相关描述内容。

通过 grep 命令用管道符从 getent 命令过滤结果集,以获取信息库中 AD 域用户及组信息。


  1. # getent passwd | grep TECMINT 
  2. # getent group | grep TECMINT  

查看 Samba4 AD 详细信息

第三步:使用活动目录账号登录 Linux 系统

21、 为了使用 Samba4 AD 用户登录系统,使用 su - 命令切换到 AD 用户账号即可。

第一次登录系统后,控制台会有信息提示用户的 home 目录已创建完成,系统路径为 /home/$DOMAIN/ 之下,名字为用户的 AD 账号名。

使用 id 命令来查询其它已登录的用户信息。


  1. # su - your_ad_user 
  2. $ id 
  3. $ exit  

检查 Linux 下 Samba4 AD 用户认证结果

22、 当你成功登入系统后,在控制台下输入 passwd 命令来修改已登录的 AD 用户密码。


  1. $ su - your_ad_user 
  2. $ passwd  

修改 Samba4 AD 用户密码

23、 默认情况下,活动目录用户没有可以完成系统管理工作的 root 权限。

要授予 AD 用户 root 权限,你必须把用户名添加到本地 sudo 组中,可使用如下命令完成。

确保你已输入域 、斜杠和 AD 用户名,并且使用英文单引号括起来,如下所示:


  1. # usermod -aG sudo 'DOMAIN\your_domain_user' 

要检查 AD 用户在本地系统上是否有 root 权限,登录后执行一个命令,比如,使用 sudo 权限执行 apt-get update 命令。


  1. # su - tecmint_user 
  2. $ sudo apt-get update  

授予 Samba4 AD 用户 sudo 权限

24、 如果你想把活动目录组中的所有账号都授予 root 权限,使用 visudo 命令来编辑 /etc/sudoers 配置文件,在 root 权限那一行添加如下内容:


  1. %DOMAIN\\your_domain\ group ALL=(ALL:ALL) ALL 

注意 /etc/sudoers 的格式,不要弄乱。

/etc/sudoers 配置文件对于 ASCII 引号字符处理的不是很好,因此务必使用 '%' 来标识用户组,使用反斜杠来转义域名后的第一个斜杠,如果你的组名中包含空格(大多数 AD 内建组默认情况下都包含空格)使用另外一个反斜杠来转义空格。并且域的名称要大写。

授予所有 Samba4 用户 sudo 权限

好了,差不多就这些了!管理 Samba4 AD 架构也可以使用 Windows 环境中的其它几个工具,比如 ADUC、DNS 管理器、 GPM 等等,这些工具可以通过安装从 Microsoft 官网下载的 RSAT 软件包来获得。

要通过 RSAT 工具来管理 Samba4 AD DC ,你必须要把 Windows 系统加入到 Samba4 活动目录。这将是我们下一篇文章的重点,在这之前,请继续关注。

作者:Matei Cezar

来源:51CTO

时间: 2024-05-25 08:19:54

在Linux命令行下管理Samba4 AD架构的相关文章

Samba 系列(二):在 Linux 命令行下管理 Samba4 AD 架构

这篇文章包括了管理 Samba4 域控制器架构过程中的一些常用命令,比如添加.移除.禁用或者列出用户及用户组等. 我们也会关注一下如何配置域安全策略以及如何把 AD 用户绑定到本地的 PAM 认证中,以实现 AD 用户能够在 Linux 域控制器上进行本地登录. 要求 在 Ubuntu 系统上使用 Samba4 来创建活动目录架构 第一步:在命令行下管理 1. 可以通过 samba-tool 命令行工具来进行管理,这个工具为域管理工作提供了一个功能强大的管理接口. 通过 samba-tool 命

Samba 系列(四):在 Windows 下管理 Samba4 AD 域管制器 DNS 和组策略

要求 1. 在 Ubuntu 16.04 系统上使用 Samba4 软件来创建活动目录架构(一) 2. 在 Linux 命令行下管理 Samba4 AD 架构(二) 3. 使用 Windows 10 的 RSAT 工具来管理 Samba4 活动目录架构 (三) 第 1 步:管理 Samba DNS 服务器 Samba4 AD DC 使用内部的 DNS 解析器模块,该模块在初始化域提供的过程中创建(如果 BIND9 DLZ 模块未指定使用的情况下). Samba4 内部的 DNS 模块支持 AD

如何在Linux命令行下收听网络电台

如何在Linux命令行下收听网络电台 对于花大量时间在Linux屏幕前的系统管理员和Linux爱好者来说,网络/本地电台上的音乐可以极大提高生产力,你们知道吗?不管你们相信与否,,在工作环境中有适当的声音,如音乐或者闲聊声包围,都可以提高我们的创造力.如果你喜欢在音乐环境中工作,这个教程也许会对你有用.我将会向你展示如何在命令行中收听潘多拉(Pandora)在线电台(LCTT译注:Pandora Internet Radio是一个仅为美国.澳大利亚和新西兰提供自动音乐推荐的系统.详细介绍Pran

如何在Linux 命令行下浏览天气预报

  Q: 我经常在 Linux 桌面查看天气预报.然而,是否有一种在终端环境下,不通过桌面小插件或者浏览器查询天气预报的方法? 其中有一个就是wego,一个终端下的小巧程序.使用基于ncurses 的接口,这个命令行程序允许你查看当前的天气情况和之后的预报.它也会通过一个天气预报的API 收集接下来5 天的天气预报. 在Linux 下安装 wego 安装 wego 相当简单.wego 是用 Go 编写的,引起第一个步骤就是安装Go 语言.然后再安装 wego. $ go get github.c

Linux 命令行下嗅探 HTTP 流量的工具:httpry

Linux 命令行下嗅探 HTTP 流量的工具:httpry 假设由于某种原因,你需要嗅探HTTP站点的流量(如HTTP请求与响应).举个例子,你可能在测试一个web服务器的实验性功能,或者你在为某个web应用或RESTful服务排错,又或者你正在为PAC(proxy auto config)排错或寻找某个站点下载的恶意软件.不论什么原因,在这些情况下,进行HTTP流量嗅探对于系统管理.开发者.甚至最终用户来说都是很有帮助的. 数据包嗅工具tcpdump被广泛用于实时数据包的导出,但是你需要设置

linux命令行下使用curl命令查看自己机器的外网ip_linux shell

Linux命令行下如何查看自己机器的外网ip?可以在命令行下使用curl命令实现这个功能,试一下下面的命令吧 复制代码 代码如下: curl ifconfig.me 输入此条命令,就可以获取到本机的外网ip.

linux 命令行下 wlan 无线网卡

Linux 命令行下配置连接 wlan 无线网卡具体步骤参考. 工作的大体思路如下: 用iwconfig开启无线网卡的电源,并查找区域内的无线网络 连接到相应的无线网络 通过ifconfig启用无线网卡,并获取IP(如果使用DHCP的话) 注意: 假设无线被识别为 wlan0,如果您的网卡没有被识别为 wlan0,可以在操作时做相应的修改. 具体步骤 1. 打开无线网卡电源 iwconfig wlan0 txpower on 2. 列出区域内的无线网络 iwlist wlan0 scan 3.

在 Windows下管理Samba4 AD域管制器DNS和组策略

这篇文章中我们将学习如何使用微软 DNS 管理器远程管理我们的 Samba AD 域控制器的 DNS 服务器,如何创建 DNS 记录,如何创建反向查找区域以及如何通过组策略管理工具来创建域策略. 第 1 步:管理 Samba DNS 服务器 Samba4 AD DC 使用内部的 DNS 解析器模块,该模块在初始化域提供的过程中创建(如果 BIND9 DLZ 模块未指定使用的情况下). Samba4 内部的 DNS 模块支持 AD 域控制器所必须的基本功能.有两种方式来管理域 DNS 服务器,直接

如何在Ubuntu命令行下管理浏览器书签

浏览器书签虽然不常被提及,但是作为互联网浏览的一部分.没有好的书签功能,网站链接可能会丢失,下次再不能访问.这就是为什么一个好的书签管理器很重要. 所有的现代浏览器都提供了一些形式的管理工具,虽然它们严格上来讲功能较少.如果你已经厌倦了这些内置在浏览器中的主流工具,你或许想要寻找一个替代品.这里介绍 Buku:一个命令行下的书签管理器.它不仅可以管理你的书签,还可以给它们加密,将它们保存在一个数据库中等等.下面是如何安装它. 安装 Buku 不是非常流行.因此,用户需要自己编译它.然而,在 Ub