ວິທີການຄຸ້ມຄອງພື້ນຖານໂຄງລ່າງຂອງ Samba4 AD ຈາກເສັ້ນ ຄຳ ສັ່ງ Linux - ພາກ 2

ບົດແນະ ນຳ ນີ້ຈະເວົ້າເຖິງບາງ ຄຳ ສັ່ງພື້ນຖານໃນຊີວິດປະ ຈຳ ວັນທີ່ທ່ານຕ້ອງການໃຊ້ເພື່ອຈັດການໂຄງສ້າງພື້ນຖານໂຄງລ່າງຂອງໂດເມນຄວບຄຸມ Samba4 AD, ເຊັ່ນ: ເພີ່ມ, ກຳ ຈັດ, ປິດຫຼືປິດລາຍຊື່ຜູ້ໃຊ້ແລະກຸ່ມ.

ພວກເຮົາຈະພິຈາລະນາກ່ຽວກັບວິທີການຈັດການນະໂຍບາຍຄວາມປອດໄພຂອງໂດເມນແລະວິທີການຜູກມັດຜູ້ໃຊ້ AD ກັບການກວດສອບ PAM ທ້ອງຖິ່ນເພື່ອໃຫ້ຜູ້ໃຊ້ AD ສາມາດເຮັດການເຂົ້າສູ່ລະບົບທ້ອງຖິ່ນໃນ Linux Domain Controller.

<

  • ສ້າງພື້ນຖານໂຄງລ່າງ AD ກັບ Samba4 ໃນ Ubuntu 16.04 - ສ່ວນທີ 1
  • ຈັດການພື້ນຖານໂຄງລ່າງ Directory Active Samba4 ຈາກ Windows10 ຜ່ານ RSAT - ພາກທີ 3
  • ຈັດການ DNS ຂອງຜູ້ຄວບຄຸມໂດເມນ Samba4 AD ແລະນະໂຍບາຍກຸ່ມຈາກ Windows - ພາກທີ 4

    • ຂັ້ນຕອນທີ 1: ຈັດການ Samba AD DC ຈາກເສັ້ນ ຄຳ ສັ່ງ

    1. Samba AD DC ສາມາດໄດ້ຮັບການຄຸ້ມຄອງຜ່ານລະບົບສາຍ ຄຳ ສັ່ງ samba-tool ທີ່ ນຳ ໃຊ້ອິນເຕີເຟດທີ່ດີໃນການຄຸ້ມຄອງໂດເມນຂອງທ່ານ.

    ດ້ວຍການຊ່ວຍເຫຼືອຂອງອິນເຕີເຟດ samba-tool ທ່ານສາມາດຈັດການຜູ້ໃຊ້ແລະກຸ່ມໂດເມນໂດຍກົງ, ນະໂຍບາຍກຸ່ມໂດເມນ, ເວັບໄຊທ໌ໂດເມນ, ບໍລິການ DNS, ການ ຈຳ ລອງໂດເມນແລະ ໜ້າ ທີ່ ສຳ ຄັນອື່ນໆຂອງໂດເມນ.

    ເພື່ອທົບທວນການເຮັດວຽກທັງ ໝົດ ຂອງ samba-tool ພຽງແຕ່ພິມ ຄຳ ສັ່ງທີ່ມີສິດທິພິເສດຮາກໂດຍບໍ່ມີຕົວເລືອກຫລືຕົວ ກຳ ນົດໃດໆ.

    # samba-tool -h

    2. ຕອນນີ້, ເລີ່ມຕົ້ນໃຊ້ລະບົບປະໂຫຍດ samba-tool ເພື່ອບໍລິຫານລະບົບ Active Samba 4 ແລະຄຸ້ມຄອງຜູ້ໃຊ້ຂອງພວກເຮົາ.

    ເພື່ອສ້າງຜູ້ໃຊ້ເທິງ AD ໃຊ້ ຄຳ ສັ່ງຕໍ່ໄປນີ້:

    # samba-tool user add your_domain_user

    ເພື່ອເພີ່ມຜູ້ໃຊ້ທີ່ມີຫລາຍໆຂໍ້ມູນທີ່ ສຳ ຄັນທີ່ຕ້ອງການໂດຍ AD, ໃຊ້ syntax ຕໍ່ໄປນີ້:

    --------- review all options --------- 
# samba-tool user add -h  
# samba-tool user add your_domain_user --given-name=your_name --surname=your_username [email  --login-shell=/bin/bash

    3. ລາຍຊື່ຜູ້ໃຊ້ໂດເມນ samba AD ທັງ ໝົດ ສາມາດໄດ້ຮັບໂດຍການອອກ ຄຳ ສັ່ງຕໍ່ໄປນີ້:

    # samba-tool user list

    4. ເພື່ອລຶບຜູ້ໃຊ້ໂດເມນ samba AD ໃຊ້ syntax ຂ້າງລຸ່ມນີ້:

    # samba-tool user delete your_domain_user

    5. ຕັ້ງລະຫັດຜ່ານຂອງຜູ້ໃຊ້ໂດເມນ samba ໂດຍການປະຕິບັດ ຄຳ ສັ່ງຕໍ່ໄປນີ້:

    # samba-tool user setpassword your_domain_user

    6. ເພື່ອປິດການໃຊ້ງານຫຼືເປີດ ນຳ ໃຊ້ບັນຊີ samba AD ຂອງຜູ້ໃຊ້ໃຊ້ ຄຳ ສັ່ງຂ້າງລຸ່ມນີ້:

    # samba-tool user disable your_domain_user
# samba-tool user enable your_domain_user

    7. ເຊັ່ນດຽວກັນ, ກຸ່ມ samba ສາມາດຈັດການກັບ syntax ຄຳ ສັ່ງຕໍ່ໄປນີ້:

    --------- review all options --------- 
# samba-tool group add –h  
# samba-tool group add your_domain_group

    8. ລົບກຸ່ມໂດເມນ samba ໂດຍອອກ ຄຳ ສັ່ງຂ້າງລຸ່ມນີ້:

    # samba-tool group delete your_domain_group

    9. ເພື່ອສະແດງກຸ່ມໂດເມນ samba ທັງ ໝົດ ດຳ ເນີນການ ຄຳ ສັ່ງດັ່ງຕໍ່ໄປນີ້:

    # samba-tool group list

    ເພື່ອລົງທະບຽນສະມາຊິກໂດເມນ samba ທັງ ໝົດ ໃນກຸ່ມສະເພາະໃຊ້ ຄຳ ສັ່ງ:

    # samba-tool group listmembers "your_domain group"

    11. ເພີ່ມ/ເອົາສະມາຊິກອອກຈາກກຸ່ມໂດເມນ samba ສາມາດເຮັດໄດ້ໂດຍການອອກ ຄຳ ສັ່ງ ໜຶ່ງ ຕໍ່ໄປນີ້:

    # samba-tool group addmembers your_domain_group your_domain_user
# samba-tool group remove members your_domain_group your_domain_user

    12. ດັ່ງທີ່ໄດ້ກ່າວມາກ່ອນ ໜ້າ ນີ້, ອິນເຕີເຟດເສັ້ນ ຄຳ ສັ່ງຂອງ samba-tool ກໍ່ສາມາດຖືກ ນຳ ໃຊ້ເພື່ອຈັດການນະໂຍບາຍແລະຄວາມປອດໄພຂອງໂດເມນ samba ຂອງທ່ານ.

    ເພື່ອທົບທວນການຕັ້ງຄ່າລະຫັດຜ່ານຂອງໂດເມນ samba ຂອງທ່ານໃຫ້ໃຊ້ ຄຳ ສັ່ງຕໍ່ໄປນີ້:

    # samba-tool domain passwordsettings show

    13. ເພື່ອປັບປຸງນະໂຍບາຍລະຫັດຜ່ານຂອງໂດເມນ samba ເຊັ່ນ: ລະດັບຄວາມສັບສົນຂອງລະຫັດຜ່ານ, ລະຫັດຜ່ານຂອງລະຫັດຜ່ານ, ຄວາມຍາວ, ຈຳ ນວນລະຫັດລັບເກົ່າທີ່ຕ້ອງຈື່ແລະຄຸນລັກສະນະດ້ານຄວາມປອດໄພອື່ນໆທີ່ ຈຳ ເປັນ ສຳ ລັບ Domain Controller ໃຊ້ ໜ້າ ຈໍຂ້າງລຸ່ມນີ້ເປັນຄູ່ມື.

    ---------- List all command options ---------- 
# samba-tool domain passwordsettings -h

    ຢ່າໃຊ້ກົດລະບຽບນະໂຍບາຍລະຫັດລັບດັ່ງທີ່ສະແດງຢູ່ຂ້າງເທິງກ່ຽວກັບສະພາບແວດລ້ອມການຜະລິດ. ການຕັ້ງຄ່າຂ້າງເທິງນີ້ແມ່ນໃຊ້ເພື່ອຈຸດປະສົງການສາທິດເທົ່ານັ້ນ.

    ຂັ້ນຕອນທີ 2: ການກວດສອບຄວາມຖືກຕ້ອງໃນທ້ອງຖິ່ນຂອງ Samba ໂດຍໃຊ້ບັນຊີລາຍຊື່ໄດເລກະທໍລີທີ່ໃຊ້ງານ

    ໂດຍຄ່າເລີ່ມຕົ້ນ, ຜູ້ໃຊ້ AD ບໍ່ສາມາດເຮັດການເຂົ້າສູ່ລະບົບທ້ອງຖິ່ນໃນລະບົບ Linux ນອກສະພາບແວດລ້ອມຂອງ Samba AD DC.

    ເພື່ອເຂົ້າສູ່ລະບົບດ້ວຍບັນຊີ Active Directory ທ່ານຕ້ອງເຮັດການປ່ຽນແປງດັ່ງຕໍ່ໄປນີ້ກ່ຽວກັບສະພາບແວດລ້ອມຂອງລະບົບ Linux ຂອງທ່ານແລະດັດແປງ Samba4 AD DC.

    ກ່ອນອື່ນ ໝົດ, ເປີດເອກະສານການຕັ້ງຄ່າຕົ້ນຕໍຂອງ samba ແລະເພີ່ມເສັ້ນທາງລຸ່ມ, ຖ້າຂາດ, ດັ່ງທີ່ສະແດງຢູ່ໃນ ໜ້າ ຈໍຂ້າງລຸ່ມນີ້.

    $ sudo nano /etc/samba/smb.conf

    ໃຫ້ແນ່ໃຈວ່າ ຄຳ ຖະແຫຼງຕໍ່ໄປນີ້ຈະປາກົດຢູ່ໃນເອກະສານການຕັ້ງຄ່າ:

    winbind enum users = yes
winbind enum groups = yes

    15. ຫຼັງຈາກທີ່ທ່ານໄດ້ເຮັດການປ່ຽນແປງແລ້ວ, ໃຫ້ໃຊ້ປະໂຫຍດຂອງ testparm ເພື່ອໃຫ້ແນ່ໃຈວ່າບໍ່ພົບຂໍ້ຜິດພາດໃນເອກະສານການຕັ້ງຄ່າຂອງ samba ແລະເລີ່ມ daemons daamba ໂດຍການອອກ ຄຳ ສັ່ງຂ້າງລຸ່ມນີ້.

    $ testparm
$ sudo systemctl restart samba-ad-dc.service

    16. ຕໍ່ໄປ, ພວກເຮົາ ຈຳ ເປັນຕ້ອງດັດແປງເອກະສານການຕັ້ງຄ່າ PAM ໃນທ້ອງຖິ່ນເພື່ອໃຫ້ບັນຊີ Samba4 Active Directory ສາມາດກວດສອບແລະເປີດກອງປະຊຸມໃນລະບົບທ້ອງຖິ່ນແລະສ້າງໄດເລກະທໍລີບ້ານ ສຳ ລັບຜູ້ໃຊ້ເຂົ້າສູ່ລະບົບກ່ອນ.

    ໃຊ້ ຄຳ ສັ່ງ pam-auth-update ເພື່ອເປີດກະຕຸ້ນການຕັ້ງຄ່າ PAM ແລະໃຫ້ແນ່ໃຈວ່າທ່ານເປີດໃຊ້ໂປຼໄຟລ໌ PAM ທັງ ໝົດ ໂດຍໃຊ້ [space] ທີ່ຢູ່ດັ່ງຮູບຂ້າງລຸ່ມນີ້.

    ເມື່ອ ສຳ ເລັດກົດປຸ່ມ [Tab] ເພື່ອຍ້າຍໄປທີ່ Ok ແລະ ນຳ ໃຊ້ການປ່ຽນແປງ.

    $ sudo pam-auth-update

    17. ຕອນນີ້ເປີດເອກະສານ /etc/nsswitch.conf ພ້ອມກັບບັນນາທິການຕົວ ໜັງ ສືແລະເພີ່ມ ຄຳ ຖະແຫຼງທີ່ winbind ຢູ່ປາຍລະຫັດຜ່ານແລະສາຍກຸ່ມຕາມທີ່ສະແດງໃນ ໜ້າ ຈໍຂ້າງລຸ່ມນີ້.

    $ sudo vi /etc/nsswitch.conf

    18. ສຸດທ້າຍ, ແກ້ໄຂເອກະສານ /etc/pam.d/common-password, ຄົ້ນຫາເສັ້ນທາງລຸ່ມດັ່ງທີ່ສະແດງຢູ່ໃນ ໜ້າ ຈໍຂ້າງລຸ່ມນີ້ແລະເອົາ ຄຳ ຖະແຫຼງການ use_authtok ອອກ.

    ການຕັ້ງຄ່ານີ້ຮັບປະກັນວ່າຜູ້ໃຊ້ Active Directory ສາມາດປ່ຽນລະຫັດຜ່ານຂອງເຂົາເຈົ້າຈາກເສັ້ນ ຄຳ ສັ່ງໃນຂະນະທີ່ຮັບຮອງໃນ Linux. ດ້ວຍການຕັ້ງຄ່ານີ້, ຜູ້ໃຊ້ AD ຮັບຮອງໃນທ້ອງຖິ່ນໃນ Linux ບໍ່ສາມາດປ່ຽນລະຫັດຜ່ານຈາກ console ໄດ້.

    password       [success=1 default=ignore]      pam_winbind.so try_first_pass

    ເອົາຕົວເລືອກ use_authtok ອອກໃນແຕ່ລະຄັ້ງທີ່ການປັບປຸງ PAM ຖືກຕິດຕັ້ງແລະ ນຳ ໃຊ້ກັບໂມດູນ PAM ຫຼືທຸກໆຄັ້ງທີ່ທ່ານປະຕິບັດ ຄຳ ສັ່ງ pam-auth-update.

    19. ໄບນາລີ Samba4 ມາພ້ອມກັບໂປແກຼມສ້າງຕັ້ງຂື້ນແລະເຮັດໃຫ້ສາມາດໃຊ້ໄດ້ໂດຍຄ່າເລີ່ມຕົ້ນ.

    ດ້ວຍເຫດຜົນນີ້, ທ່ານບໍ່ ຈຳ ເປັນຕ້ອງແຍກອອກຈາກການເປີດໃຊ້ daemon ແລະສະ ໜອງ ໃຫ້ກັບຊຸດ winbind ຈາກບ່ອນເກັບຂໍ້ມູນ Ubuntu ຢ່າງເປັນທາງການ.

    ໃນກໍລະນີທີ່ການບໍລິການ winbind ເກົ່າແລະເສື່ອມລາຄາຖືກເລີ່ມຕົ້ນໃນລະບົບໃຫ້ແນ່ໃຈວ່າທ່ານປິດການໃຊ້ງານແລະຢຸດການບໍລິການໂດຍການອອກ ຄຳ ສັ່ງຂ້າງລຸ່ມນີ້:

    $ sudo systemctl disable winbind.service
$ sudo systemctl stop winbind.service

    ເຖິງແມ່ນວ່າ, ພວກເຮົາບໍ່ ຈຳ ເປັນຕ້ອງໃຊ້ດາບ winbind ເກົ່າ, ພວກເຮົາຍັງຕ້ອງຕິດຕັ້ງຊຸດ Winbind ຈາກບ່ອນເກັບມ້ຽນເພື່ອທີ່ຈະຕິດຕັ້ງແລະ ນຳ ໃຊ້ເຄື່ອງມື wbinfo.

    ຜົນປະໂຫຍດຂອງ Wbinfo ສາມາດຖືກ ນຳ ໃຊ້ເພື່ອສອບຖາມຜູ້ໃຊ້ແລະກຸ່ມ Active Directory ແລະຈຸດຈາກ winbindd daemon point of view.

    ຄຳ ສັ່ງຕໍ່ໄປນີ້ສະແດງໃຫ້ເຫັນວິທີການສອບຖາມຜູ້ໃຊ້ແລະກຸ່ມ AD ໂດຍໃຊ້ wbinfo.

    $ wbinfo -g
$ wbinfo -u
$ wbinfo -i your_domain_user

    20. ນອກ ເໜືອ ຈາກຜົນປະໂຫຍດຂອງ wbinfo ທ່ານຍັງສາມາດໃຊ້ເຄື່ອງໃຊ້ line line commandent ເພື່ອສອບຖາມຖານຂໍ້ມູນ Active Directory ຈາກ Name Service Switch libraries ເຊິ່ງເປັນຕົວແທນຢູ່ໃນເອກະສານ /etc/nsswitch.conf.

    ຄຳ ສັ່ງທໍ່ໂດຍຜ່ານການກັ່ນຕອງ grep ເພື່ອເຮັດໃຫ້ຜົນໄດ້ຮັບທີ່ແຄບລົງກ່ຽວກັບພຽງແຕ່ຜູ້ໃຊ້ AD ຂອງທ່ານຫຼືຖານຂໍ້ມູນກຸ່ມ.

    # getent passwd | grep TECMINT
# getent group | grep TECMINT

    ຂັ້ນຕອນທີ 3: ເຂົ້າສູ່ລະບົບໃນ Linux ກັບ User Directory User

    21. ເພື່ອທີ່ຈະກວດສອບຄວາມຖືກຕ້ອງໃນລະບົບກັບຜູ້ໃຊ້ Samba4 AD, ພຽງແຕ່ໃຊ້ພາລາມິເຕີຊື່ຜູ້ໃຊ້ AD ຫຼັງຈາກ su - ຄຳ ສັ່ງ.

    ເມື່ອເຂົ້າສູ່ລະບົບຄັ້ງ ທຳ ອິດຂໍ້ຄວາມຈະຖືກສະແດງຢູ່ເທິງຄອນໂຊນເຊິ່ງແຈ້ງໃຫ້ທ່ານຮູ້ວ່າໄດເລກະທໍລີຢູ່ເຮືອນໄດ້ຖືກສ້າງຂື້ນໃນເສັ້ນທາງລະບົບ /home/$DOMAIN/ ພ້ອມດ້ວຍ mane ຂອງຊື່ຜູ້ໃຊ້ AD ຂອງທ່ານ.

    ໃຊ້ ຄຳ ສັ່ງ id ເພື່ອສະແດງຂໍ້ມູນພິເສດກ່ຽວກັບຜູ້ໃຊ້ທີ່ຖືກກວດສອບ.

    # su - your_ad_user
$ id
$ exit

    22. ເພື່ອປ່ຽນລະຫັດຜ່ານ ສຳ ລັບ ຄຳ ສັ່ງ passwd ຂອງຜູ້ໃຊ້ AD ທີ່ຖືກກວດສອບຫຼັງຈາກທ່ານໄດ້ເຂົ້າສູ່ລະບົບແລ້ວ.

    $ su - your_ad_user
$ passwd

    23. ໂດຍຄ່າເລີ່ມຕົ້ນ, ຜູ້ໃຊ້ Active Directory ບໍ່ໄດ້ຮັບສິດທິພິເສດເພື່ອປະຕິບັດວຽກງານບໍລິຫານໃນ Linux.

    ເພື່ອໃຫ້ ອຳ ນາດຮາກແກ່ຜູ້ໃຊ້ AD ທ່ານຕ້ອງເພີ່ມຊື່ຜູ້ໃຊ້ເຂົ້າໃນກຸ່ມ sudo ໃນທ້ອງຖິ່ນໂດຍອອກ ຄຳ ສັ່ງຂ້າງລຸ່ມນີ້.

    ຕ້ອງແນ່ໃຈວ່າທ່ານໃສ່ຊື່ຜູ້ໃຊ້ realm, slash ແລະ AD ທີ່ມີ ຄຳ ເວົ້າ ASCII ດຽວ.

    # usermod -aG sudo 'DOMAIN\your_domain_user'

    ເພື່ອທົດສອບວ່າຜູ້ໃຊ້ AD ມີສິດທິພິເສດໃນລະບົບທ້ອງຖິ່ນ, ເຂົ້າສູ່ລະບົບແລະ ດຳ ເນີນການ ຄຳ ສັ່ງເຊັ່ນການປັບປຸງ apt-get, ໂດຍມີການອະນຸຍາດ sudo.

    # su - tecmint_user
$ sudo apt-get update

    24. ໃນກໍລະນີທີ່ທ່ານຕ້ອງການເພີ່ມສິດທິພິເສດ ສຳ ລັບທຸກໆບັນຊີຂອງກຸ່ມ Active Directory, ໃຫ້ແກ້ໄຂເອກະສານ/etc/sudoers ໂດຍໃຊ້ ຄຳ ສັ່ງ visudo ແລະເພີ່ມເສັ້ນທາງລຸ່ມນີ້ຫຼັງຈາກສາຍສິດທິພິເສດຮາກ, ດັ່ງທີ່ສະແດງຢູ່ໃນ ໜ້າ ຈໍຂ້າງລຸ່ມນີ້:

    %DOMAIN\\your_domain\  group ALL=(ALL:ALL) ALL

    ເອົາໃຈໃສ່ກັບ syntax sudoers ເພື່ອທ່ານຈະບໍ່ ທຳ ລາຍສິ່ງຕ່າງໆ.

    ເອກະສານ Sudoers ບໍ່ໄດ້ຈັດການກັບເຄື່ອງ ໝາຍ ວົງຢືມ ASCII ຫຼາຍ, ສະນັ້ນໃຫ້ແນ່ໃຈວ່າທ່ານໃຊ້ % ເພື່ອ ໝາຍ ຄວາມວ່າທ່ານ ກຳ ລັງອ້າງອີງເຖິງກຸ່ມແລະໃຊ້ backslash ເພື່ອ ໜີ ຈາກການຖາງ ທຳ ອິດຫຼັງຈາກໂດເມນ ຊື່ແລະ backslash ອີກເພື່ອ ໜີ ຈາກພື້ນທີ່ຖ້າຊື່ກຸ່ມຂອງທ່ານມີຊ່ອງຫວ່າງ (ສ່ວນໃຫຍ່ຂອງ AD ທີ່ສ້າງຂຶ້ນໃນກຸ່ມມີຊ່ອງຫວ່າງໂດຍຄ່າເລີ່ມຕົ້ນ). ພ້ອມກັນນັ້ນ, ຂຽນ realm ກັບ uppercases.

    ດຽວນີ້ ໝົດ ແລ້ວ! ການຄຸ້ມຄອງໂຄງລ່າງພື້ນຖານຂອງ Samba4 AD ຍັງສາມາດບັນລຸໄດ້ດ້ວຍເຄື່ອງມືຫຼາຍຢ່າງຈາກສະພາບແວດລ້ອມຂອງ Windows ເຊັ່ນ ADUC, ຜູ້ຈັດການ DNS, GPM ຫຼືອື່ນໆເຊິ່ງສາມາດໄດ້ຮັບໂດຍການຕິດຕັ້ງຊຸດ RSAT ຈາກ ໜ້າ ດາວໂຫລດຂອງ Microsoft.

    ເພື່ອບໍລິຫານ Samba4 AD DC ຜ່ານລະບົບສາທານ RSAT, ມັນ ຈຳ ເປັນແທ້ໆທີ່ຕ້ອງເຂົ້າຮ່ວມລະບົບ Windows ເຂົ້າໃນ Samba4 Active Directory. ນີ້ຈະເປັນຫົວເລື່ອງຂອງການສອນຕໍ່ໄປຂອງພວກເຮົາ, ຈົນກວ່າຈະຕິດຕາມກັບ TecMint.