日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

這篇文章包括了管理 Samba4 域控制器架構(gòu)過(guò)程中的一些常用命令，比如添加、移除、禁用或者列出用戶及用戶組等。

我們也會(huì)關(guān)注一下如何配置域安全策略以及如何把 AD 用戶綁定到本地的 PAM 認(rèn)證中，以實(shí)現(xiàn) AD 用戶能夠在 Linux 域控制器上進(jìn)行本地登錄。

要求

• 在 Ubuntu 系統(tǒng)上使用 Samba4 來(lái)創(chuàng)建活動(dòng)目錄架構(gòu)

第一步：在命令行下管理

1、 可以通過(guò) samba-tool 命令行工具來(lái)進(jìn)行管理，這個(gè)工具為域管理工作提供了一個(gè)功能強(qiáng)大的管理接口。

通過(guò) samba-tool 命令行接口，你可以直接管理域用戶及用戶組、域組策略、域站點(diǎn)，DNS 服務(wù)、域復(fù)制關(guān)系和其它重要的域功能。

使用 root 權(quán)限的賬號(hào)，直接輸入 samba-tool 命令，不要加任何參數(shù)選項(xiàng)來(lái)查看該工具能實(shí)現(xiàn)的所有功能。

# samba-tool -h

samba-tool —— Samba 管理工具

2、 現(xiàn)在，讓我們開(kāi)始使用 samba-tool 工具來(lái)管理 Samba4 活動(dòng)目錄中的用戶。

使用如下命令來(lái)創(chuàng)建 AD 用戶：

# samba-tool user add your_domain_user

添加一個(gè)用戶，包括 AD 可選的一些重要屬性，如下所示：

--------- review all options --------- 
# samba-tool user add -h  
# samba-tool user add your_domain_user --given-name=your_name --surname=your_username --mail-address=your_domain_user@tecmint.lan --login-shell=/bin/bash

在 Samba AD 上創(chuàng)建用戶

3、 可以通過(guò)下面的命令來(lái)列出所有 Samba AD 域用戶：

# samba-tool user list

列出 Samba AD 用戶信息

4、 使用下面的命令來(lái)刪除 Samba AD 域用戶：

# samba-tool user delete your_domain_user

5、 重置 Samba 域用戶的密碼：

# samba-tool user setpassword your_domain_user

6、 啟用或禁用 Samba 域用戶賬號(hào)：

# samba-tool user disable your_domain_user
# samba-tool user enable your_domain_user

7、 同樣地，可以使用下面的方法來(lái)管理 Samba 用戶組：

--------- review all options --------- 
# samba-tool group add –h  
# samba-tool group add your_domain_group

8、 刪除 samba 域用戶組：

# samba-tool group delete your_domain_group

9、 顯示所有的 Samba 域用戶組信息：  

# samba-tool group list

10、 列出指定組下的 Samba 域用戶：

# samba-tool group listmembers "your_domain group"

列出 Samba 域用戶組

11、 從 Samba 域組中添加或刪除某一用戶：

# samba-tool group addmembers your_domain_group your_domain_user
# samba-tool group remove members your_domain_group your_domain_user

12、 如上面所提到的， samba-tool 命令行工具也可以用于管理 Samba 域策略及安全。

查看 samba 域密碼設(shè)置：

# samba-tool domain passwordsettings show

檢查 Samba 域密碼

13、 為了修改 samba 域密碼策略，比如密碼復(fù)雜度，密碼失效時(shí)長(zhǎng)，密碼長(zhǎng)度，密碼重復(fù)次數(shù)以及其它域控制器要求的安全策略等，可參照如下命令來(lái)完成：

---------- List all command options ---------- 
# samba-tool domain passwordsettings -h 

管理 Samba 域密碼策略

不要把上圖中的密碼策略規(guī)則用于生產(chǎn)環(huán)境中。上面的策略僅僅是用于演示目的。

第二步：使用活動(dòng)目錄賬號(hào)來(lái)完成 Samba 本地認(rèn)證

14、 默認(rèn)情況下，離開(kāi) Samba AD DC 環(huán)境，AD 用戶不能從本地登錄到 Linux 系統(tǒng)。

為了讓活動(dòng)目錄賬號(hào)也能登錄到系統(tǒng)，你必須在 Linux 系統(tǒng)環(huán)境中做如下設(shè)置，并且要修改 Samba4 AD DC 配置。

首先，打開(kāi) Samba 主配置文件，如果以下內(nèi)容不存在，則添加：

$ sudo nano /etc/samba/smb.conf

確保以下參數(shù)出現(xiàn)在配置文件中：

winbind enum users = yes
winbind enum groups = yes

Samba 通過(guò) AD 用戶賬號(hào)來(lái)進(jìn)行認(rèn)證

15、 修改之后，使用 testparm 工具來(lái)驗(yàn)證配置文件沒(méi)有錯(cuò)誤，然后通過(guò)如下命令來(lái)重啟 Samba 服務(wù)：

$ testparm
$ sudo systemctl restart samba-ad-dc.service

檢查 Samba 配置文件是否報(bào)錯(cuò)

16、 下一步，我們需要修改本地 PAM 配置文件，以讓 Samba4 活動(dòng)目錄賬號(hào)能夠完成本地認(rèn)證、開(kāi)啟會(huì)話，并且在第一次登錄系統(tǒng)時(shí)創(chuàng)建一個(gè)用戶目錄。

使用 pam-auth-update 命令來(lái)打開(kāi) PAM 配置提示界面，確保所有的 PAM 選項(xiàng)都已經(jīng)使用 [空格] 鍵來(lái)啟用，如下圖所示：

完成之后，按 [Tab] 鍵跳轉(zhuǎn)到 OK ，以啟用修改。

$ sudo pam-auth-update

為 Samba4 AD 配置 PAM 認(rèn)證

為 Samba4 AD 用戶啟用 PAM認(rèn)證模塊

17、 現(xiàn)在，使用文本編輯器打開(kāi) /etc/nsswitch.conf 配置文件，在 passwd 和 group 參數(shù)的最后面添加 winbind 參數(shù)，如下圖所示：

$ sudo vi /etc/nsswitch.conf

為 Samba 服務(wù)添加 Winbind Service Switch 設(shè)置

18、 最后，編輯 /etc/pam.d/common-password 文件，查找下圖所示行并刪除 user_authtok 參數(shù)。

該設(shè)置確保 AD 用戶在通過(guò) Linux 系統(tǒng)本地認(rèn)證后，可以在命令行下修改他們的密碼。有這個(gè)參數(shù)時(shí)，本地認(rèn)證的 AD 用戶不能在控制臺(tái)下修改他們的密碼。

password       [success=1 default=ignore]      pam_winbind.so try_first_pass

允許 Samba AD 用戶修改密碼

在每次 PAM 更新安裝完成并應(yīng)用到 PAM 模塊，或者你每次執(zhí)行 pam-auth-update 命令后，你都需要?jiǎng)h除 use_authtok 參數(shù)。

19、 Samba4 的二進(jìn)制文件會(huì)生成一個(gè)內(nèi)建的 windindd 進(jìn)程，并且默認(rèn)是啟用的。

因此，你沒(méi)必要再次去啟用并運(yùn)行 Ubuntu 系統(tǒng)官方自帶的 winbind 服務(wù)。

為了防止系統(tǒng)里原來(lái)已廢棄的 winbind 服務(wù)被啟動(dòng)，確保執(zhí)行以下命令來(lái)禁用并停止原來(lái)的 winbind 服務(wù)。

$ sudo systemctl disable winbind.service
$ sudo systemctl stop winbind.service

雖然我們不再需要運(yùn)行原有的 winbind 進(jìn)程，但是為了安裝并使用 wbinfo 工具，我們還得從系統(tǒng)軟件庫(kù)中安裝 Winbind 包。

wbinfo 工具可以用來(lái)從 winbindd 進(jìn)程側(cè)來(lái)查詢活動(dòng)目錄用戶和組。

以下命令顯示了使用 wbinfo 命令如何查詢 AD 用戶及組信息。

$ wbinfo -g
$ wbinfo -u
$ wbinfo -i your_domain_user

檢查 Samba4 AD 信息

檢查 Samba4 AD 用戶信息

20、 除了 wbinfo 工具外，你也可以使用 getent 命令行工具從 Name Service Switch 庫(kù)中查詢活動(dòng)目錄信息庫(kù)，在 /etc/nsswitch.conf 配置文件中有相關(guān)描述內(nèi)容。

通過(guò) grep 命令用管道符從 getent 命令過(guò)濾結(jié)果集，以獲取信息庫(kù)中 AD 域用戶及組信息。

# getent passwd | grep TECMINT
# getent group | grep TECMINT

查看 Samba4 AD 詳細(xì)信息

第三步：使用活動(dòng)目錄賬號(hào)登錄 Linux 系統(tǒng)

21、 為了使用 Samba4 AD 用戶登錄系統(tǒng)，使用 su - 命令切換到 AD 用戶賬號(hào)即可。

第一次登錄系統(tǒng)后，控制臺(tái)會(huì)有信息提示用戶的 home 目錄已創(chuàng)建完成，系統(tǒng)路徑為 /home/$DOMAIN/ 之下，名字為用戶的 AD 賬號(hào)名。

使用 id 命令來(lái)查詢其它已登錄的用戶信息。

# su - your_ad_user
$ id
$ exit

檢查 Linux 下 Samba4 AD 用戶認(rèn)證結(jié)果

22、 當(dāng)你成功登入系統(tǒng)后，在控制臺(tái)下輸入 passwd 命令來(lái)修改已登錄的 AD 用戶密碼。

$ su - your_ad_user
$ passwd

修改 Samba4 AD 用戶密碼

23、 默認(rèn)情況下，活動(dòng)目錄用戶沒(méi)有可以完成系統(tǒng)管理工作的 root 權(quán)限。

要授予 AD 用戶 root 權(quán)限，你必須把用戶名添加到本地 sudo 組中，可使用如下命令完成。

確保你已輸入域 、斜杠和 AD 用戶名，并且使用英文單引號(hào)括起來(lái)，如下所示：

# usermod -aG sudo 'DOMAIN\your_domain_user'

要檢查 AD 用戶在本地系統(tǒng)上是否有 root 權(quán)限，登錄后執(zhí)行一個(gè)命令，比如，使用 sudo 權(quán)限執(zhí)行 apt-get update 命令。

# su - tecmint_user
$ sudo apt-get update

授予 Samba4 AD 用戶 sudo 權(quán)限

24、 如果你想把活動(dòng)目錄組中的所有賬號(hào)都授予 root 權(quán)限，使用 visudo 命令來(lái)編輯 /etc/sudoers 配置文件，在 root 權(quán)限那一行添加如下內(nèi)容：

%DOMAIN\\your_domain\  group ALL=(ALL:ALL) ALL

注意 /etc/sudoers 的格式，不要弄亂。

/etc/sudoers 配置文件對(duì)于 ASCII 引號(hào)字符處理的不是很好，因此務(wù)必使用 '%' 來(lái)標(biāo)識(shí)用戶組，使用反斜杠來(lái)轉(zhuǎn)義域名后的第一個(gè)斜杠，如果你的組名中包含空格（大多數(shù) AD 內(nèi)建組默認(rèn)情況下都包含空格）使用另外一個(gè)反斜杠來(lái)轉(zhuǎn)義空格。并且域的名稱(chēng)要大寫(xiě)。

授予所有 Samba4 用戶 sudo 權(quán)限

好了，差不多就這些了！管理 Samba4 AD 架構(gòu)也可以使用 Windows 環(huán)境中的其它幾個(gè)工具，比如 ADUC、DNS 管理器、 GPM 等等，這些工具可以通過(guò)安裝從 Microsoft 官網(wǎng)下載的 RSAT 軟件包來(lái)獲得。

要通過(guò) RSAT 工具來(lái)管理 Samba4 AD DC ，你必須要把 Windows 系統(tǒng)加入到 Samba4 活動(dòng)目錄。這將是我們下一篇文章的重點(diǎn)，在這之前，請(qǐng)繼續(xù)關(guān)注。