Ricerca nel sito web

Come gestire l'infrastruttura AD Samba4 dalla riga di comando di Linux - Parte 2

Questo tutorial coprirà alcuni comandi quotidiani di base che devi utilizzare per gestire l'infrastruttura Samba4 AD Domain Controller, come aggiungere, rimuovere, disabilitare o elencare utenti e gruppi.

Daremo anche un'occhiata a come gestire la politica di sicurezza del dominio e come associare gli utenti AD all'autenticazione PAM locale affinché gli utenti AD possano eseguire accessi locali sul controller di dominio Linux.

Requisiti

  1. Creare un'infrastruttura AD con Samba4 su Ubuntu 16.04 – Parte 1
  2. Gestire l'infrastruttura Active Directory Samba4 da Windows10 tramite RSAT – Parte 3
  3. Gestire i DNS e i criteri di gruppo del controller di dominio AD Samba4 da Windows – Parte 4

Passaggio 1: gestire Samba AD DC dalla riga di comando

1. Samba AD DC può essere gestito tramite l'utilità della riga di comando samba-tool che offre un'ottima interfaccia per l'amministrazione del tuo dominio.

Con l'aiuto dell'interfaccia dello strumento samba puoi gestire direttamente utenti e gruppi di dominio, criteri di gruppo di dominio, siti di dominio, servizi DNS, replica di dominio e altre funzioni critiche del dominio.

Per rivedere l'intera funzionalità di samba-tool basta digitare il comando con privilegi di root senza alcuna opzione o parametro.

samba-tool -h

2. Ora iniziamo a utilizzare l'utilità samba-tool per amministrare Samba4 Active Directory e gestire i nostri utenti.

Per creare un utente su AD utilizzare il seguente comando:

samba-tool user add your_domain_user

Per aggiungere un utente con diversi campi importanti richiesti da AD, utilizzare la seguente sintassi:

--------- review all options --------- 
samba-tool user add -h  
samba-tool user add your_domain_user --given-name=your_name --surname=your_username [email  --login-shell=/bin/bash

3. È possibile ottenere un elenco di tutti gli utenti del dominio AD samba immettendo il seguente comando:

samba-tool user list

4. Per eliminare un utente del dominio AD samba utilizzare la sintassi seguente:

samba-tool user delete your_domain_user

5. Reimposta la password di un utente del dominio Samba eseguendo il comando seguente:

samba-tool user setpassword your_domain_user

6. Per disabilitare o abilitare un account utente AD samba utilizzare il comando seguente:

samba-tool user disable your_domain_user
samba-tool user enable your_domain_user

7. Allo stesso modo, i gruppi samba possono essere gestiti con la seguente sintassi dei comandi:

--------- review all options --------- 
samba-tool group add –h  
samba-tool group add your_domain_group

8. Elimina un gruppo di domini Samba emettendo il comando seguente:

samba-tool group delete your_domain_group

9. Per visualizzare tutti i gruppi di domini Samba, esegui il seguente comando:

samba-tool group list

10. Per elencare tutti i membri del dominio Samba in un gruppo specifico utilizzare il comando:

samba-tool group listmembers "your_domain group"

11. È possibile aggiungere/rimuovere un membro da un gruppo di domini samba emettendo uno dei seguenti comandi:

samba-tool group addmembers your_domain_group your_domain_user
samba-tool group remove members your_domain_group your_domain_user

12. Come accennato in precedenza, l'interfaccia a riga di comando dello strumento samba può essere utilizzata anche per gestire la policy e la sicurezza del dominio samba.

Per rivedere le impostazioni della password del dominio Samba, utilizza il comando seguente:

samba-tool domain passwordsettings show

13. Per modificare la politica della password del dominio Samba, come il livello di complessità della password, la durata della password, la lunghezza, quante vecchie password ricordare e altre funzionalità di sicurezza richieste per un controller di dominio, utilizzare lo screenshot seguente come una guida.

---------- List all command options ---------- 
samba-tool domain passwordsettings -h

Non utilizzare mai le regole della policy password come illustrato sopra in un ambiente di produzione. Le impostazioni di cui sopra vengono utilizzate solo a scopo dimostrativo.

Passaggio 2: autenticazione locale Samba utilizzando gli account Active Directory

14. Per impostazione predefinita, gli utenti AD non possono eseguire accessi locali sul sistema Linux al di fuori dell'ambiente Samba AD DC.

Per accedere al sistema con un account Active Directory è necessario apportare le seguenti modifiche all'ambiente del sistema Linux e modificare Samba4 AD DC.

Innanzitutto, apri il file di configurazione principale di Samba e aggiungi le righe seguenti, se mancanti, come illustrato nello screenshot seguente.

sudo nano /etc/samba/smb.conf

Assicurati che sul file di configurazione appaiano le seguenti istruzioni:

winbind enum users = yes
winbind enum groups = yes

15. Dopo aver apportato le modifiche, utilizza l'utilità testparm per assicurarti che non vengano trovati errori nel file di configurazione di Samba e riavvia i demoni di Samba emettendo il comando seguente.

testparm
sudo systemctl restart samba-ad-dc.service

16. Successivamente, dobbiamo modificare i file di configurazione PAM locale affinché gli account Samba4 Active Directory siano in grado di autenticarsi e aprire una sessione sul sistema locale e creare una home directory per gli utenti al primo accesso.

Utilizza il comando pam-auth-update per aprire il prompt di configurazione di PAM e assicurati di abilitare tutti i profili PAM utilizzando il tasto [spazio] come illustrato nello screenshot seguente.

Al termine, premi il tasto [Tab] per passare a Ok e applicare le modifiche.

sudo pam-auth-update

17. Ora apri il file /etc/nsswitch.conf con un editor di testo e aggiungi l'istruzione winbind alla fine delle righe della password e del gruppo come illustrato nello screenshot qui sotto.

sudo vi /etc/nsswitch.conf

18. Infine, modifica il file /etc/pam.d/common-password, cerca la riga sottostante come illustrato nello screenshot seguente e rimuovi use_authtok< dichiarazione.

Questa impostazione garantisce che gli utenti di Active Directory possano modificare la propria password dalla riga di comando durante l'autenticazione in Linux. Con questa impostazione attivata, gli utenti AD autenticati localmente su Linux non possono modificare la propria password dalla console.

password       [success=1 default=ignore]      pam_winbind.so try_first_pass

Rimuovi l'opzione use_authtok ogni volta che gli aggiornamenti PAM vengono installati e applicati ai moduli PAM o ogni volta che esegui il comando pam-auth-update.

19. I binari di Samba4 sono dotati di un demone winbindd integrato e abilitato per impostazione predefinita.

Per questo motivo non è più necessario abilitare ed eseguire separatamente il demone winbind fornito dal pacchetto winbind dai repository ufficiali di Ubuntu.

Nel caso in cui sul sistema venga avviato il vecchio e obsoleto servizio winbind, assicurati di disabilitarlo e interrompere il servizio immettendo i comandi seguenti:

sudo systemctl disable winbind.service
sudo systemctl stop winbind.service

Anche se non abbiamo più bisogno di eseguire il vecchio demone winbind, dobbiamo comunque installare il pacchetto Winbind dai repository per poter installare e utilizzare lo strumento wbinfo.

L'utilità Wbinfo può essere utilizzata per interrogare utenti e gruppi di Active Directory dal punto di vista del demone winbindd.

I comandi seguenti illustrano come eseguire query su utenti e gruppi AD utilizzando wbinfo.

wbinfo -g
wbinfo -u
wbinfo -i your_domain_user

20. Oltre all'utilità wbinfo è anche possibile utilizzare l'utilità della riga di comando getent per interrogare il database Active Directory dalle librerie Name Service Switch rappresentate in /etc/nsswitch.conf.

Invia il comando getent attraverso un filtro grep per restringere i risultati relativi solo al database degli utenti o dei gruppi dell'area AD.

getent passwd | grep TECMINT
getent group | grep TECMINT

Passaggio 3: accedi a Linux con un utente Active Directory

21. Per autenticarsi sul sistema con un utente Samba4 AD, basta utilizzare il parametro AD nomeutente dopo su - comando.

Al primo accesso verrà visualizzato un messaggio sulla console che ti avvisa che è stata creata una directory home sul percorso di sistema /home/$DOMAIN/ con la criniera del tuo nome utente AD.

Utilizza il comando id per visualizzare informazioni aggiuntive sull'utente autenticato.

su - your_ad_user
id
exit

22. Per modificare la password per un utente AD autenticato, digitare il comando passwd nella console dopo aver effettuato l'accesso con successo al sistema.

su - your_ad_user
passwd

23. Per impostazione predefinita, agli utenti di Active Directory non vengono concessi privilegi di root per eseguire attività amministrative su Linux.

Per concedere i poteri di root a un utente AD è necessario aggiungere il nome utente al gruppo sudo locale emettendo il comando seguente.

Assicurati di racchiudere realm, barra e il nome utente AD tra virgolette singole ASCII.

usermod -aG sudo 'DOMAIN\your_domain_user'

Per verificare se l'utente AD dispone dei privilegi di root sul sistema locale, accedi ed esegui un comando, ad esempio apt-get update, con autorizzazioni sudo.

su - tecmint_user
sudo apt-get update

24. Nel caso in cui desideri aggiungere privilegi di root per tutti gli account di un gruppo Active Directory, modifica il file /etc/sudoers utilizzando il comando visudo e aggiungi la riga seguente dopo la riga dei privilegi di root, come illustrato nello screenshot seguente:

%DOMAIN\\your_domain\  group ALL=(ALL:ALL) ALL

Presta attenzione alla sintassi di sudoers in modo da non rovinare le cose.

Il file Sudoers non gestisce molto bene l'uso delle virgolette ASCII, quindi assicurati di utilizzare % per indicare che ti riferisci a un gruppo e di utilizzare una barra rovesciata per evita la prima barra dopo il nome di dominio e un'altra barra rovesciata per sfuggire agli spazi se il nome del tuo gruppo contiene spazi (la maggior parte dei gruppi integrati in AD contengono spazi per impostazione predefinita). Inoltre, scrivi il regno in maiuscolo.

È tutto per ora! La gestione dell'infrastruttura Samba4 AD può essere ottenuta anche con diversi strumenti dell'ambiente Windows, come ADUC, DNS Manager, GPM o altro, che può essere ottenuto installando il pacchetto RSAT dalla pagina di download di Microsoft.

Per amministrare Samba4 AD DC tramite le utilità RSAT, è assolutamente necessario unire il sistema Windows a Samba4 Active Directory. Questo sarà l'argomento del nostro prossimo tutorial, fino ad allora rimanete sintonizzati su TecMint.