Cómo administrar la infraestructura AD de

Samba4 desde la línea de comandos de Linux -

Parte 2
Este tutorial cubrirá algunos comandos diarios básicos que necesita usar para administrar la
infraestructura de Samba4 AD Domain Controller , como agregar, eliminar, desactivar o listar
usuarios y grupos.

También veremos cómo administrar la política de seguridad del dominio y cómo vincular a los
usuarios de AD a la autenticación PAM local para que los usuarios de AD puedan realizar inicios
de sesión locales en el controlador de dominio de Linux.

1. Create an AD Infrastructure with Samba4 on Ubuntu 16.04 – Part 1

2. Manage Samba4 Active Directory Infrastructure from Windows10 via RSAT – Part 3
3. Manage Samba4 AD Domain Controller DNS and Group Policy from Windows – Part 4

Paso 1: Administrar Samba AD DC desde la línea de comandos

1. Samba AD DC se puede administrar a través de samba-tool , la utilidad de línea de

comandos que ofrece una excelente interfaz para administrar su dominio.

Con la ayuda de la interfaz de samba-tool, puede administrar directamente los usuarios y grupos
del dominio, la Política de grupo del dominio, los sitios del dominio, los servicios DNS, la
replicación del dominio y otras funciones críticas del dominio.

Para revisar toda la funcionalidad de samba-tool, simplemente escriba el comando con

privilegios de root sin ninguna opción o parámetro.

# samba-tool -h
2. Ahora, comencemos a usar la utilidad samba-tool para administrar Active Directory de
Samba4 y administrar a nuestros usuarios.

Para crear un usuario en AD use el siguiente comando:

# samba-tool user add your_domain_user

Para agregar un usuario con varios campos importantes requeridos por AD, use la siguiente
sintaxis:

--------- review all options ---------

# samba-tool user add -h
# samba-tool user add your_domain_user --given-name=your_name --
surname=your_username [email protected] --login-shell=/bin/bash
3. Se puede obtener una lista de todos los usuarios del dominio AD de samba emitiendo el
siguiente comando:

# samba-tool user list

4. Para eliminar un usuario de dominio samba AD use la siguiente sintaxis:

# samba-tool user delete your_domain_user

5. Restablece una contraseña de usuario de dominio samba ejecutando el siguiente comando:

# samba-tool user setpassword your_domain_user

6. para deshabilitar o habilitar una cuenta de usuario AD de samba, use el siguiente comando:

# samba-tool user disable your_domain_user

# samba-tool user enable your_domain_user
7. Del mismo modo, los grupos de samba se pueden administrar con la siguiente sintaxis de
comando:

--------- review all options ---------

# samba-tool group add –h
# samba-tool group add your_domain_group
8. Borre un grupo de dominios samba emitiendo el siguiente comando:

# samba-tool group delete your_domain_group

9. Para mostrar todos los grupos de dominios de samba, ejecute el siguiente comando:

# samba-tool group list

10. Para enumerar todos los miembros del dominio samba en un grupo específico, use el
comando:

# samba-tool group listmembers "your_domain group"

11. Se puede agregar/eliminar un miembro de un grupo de dominios de samba emitiendo uno de

los siguientes comandos:

# samba-tool group addmembers your_domain_group your_domain_user

# samba-tool group remove members your_domain_group your_domain_user
12. Como se mencionó anteriormente, la interfaz de línea de comandos de samba-tool también se
puede usar para administrar la política y seguridad de su dominio samba.

Para revisar la configuración de la contraseña de su dominio samba use el siguiente comando:

# samba-tool domain passwordsettings show

13. Para modificar la política de contraseña del dominio samba, como el nivel de complejidad de
la contraseña, la caducidad de la contraseña, la cantidad de contraseña antigua que se debe
recordar y otras funciones de seguridad necesarias para que un controlador de dominio use la
siguiente captura de pantalla como Una guía.

---------- List all command options ----------

# samba-tool domain passwordsettings -h

Nunca use las reglas de la política de contraseñas como se ilustra arriba en un entorno de
producción. Los ajustes anteriores se utilizan sólo para fines de demostración.
Paso 2: Autenticación local de Samba usando cuentas de Active Directory

14. De forma predeterminada, los usuarios de AD no pueden realizar inicios de sesión locales en
el sistema Linux fuera del entorno Samba AD DC .

Para iniciar sesión en el sistema con una cuenta Active Directory , debe realizar los siguientes
cambios en el entorno de su sistema Linux y modificar Samba4 AD DC.

Primero, abra el archivo de configuración principal de samba y agregue las líneas siguientes, si
faltan, como se ilustra en la captura de pantalla a continuación.

$ sudo nano /etc/samba/smb.conf

Asegúrese de que las siguientes declaraciones aparezcan en el archivo de configuración:

winbind enum users = yes

winbind enum groups = yes

15. Una vez que haya realizado los cambios, use la utilidad testparm para asegurarse de que no
haya errores en el archivo de configuración de samba y reinicie los demonios de samba
emitiendo el siguiente comando.
$ testparm
$ sudo systemctl restart samba-ad-dc.service

16. A continuación, debemos modificar los archivos de configuración de PAM locales para que
las cuentas de Active Directory de Samba4 puedan autenticar y abrir una sesión en el sistema
local y crear un hogar. Directorio para usuarios al inicio de sesión.

Use el comando pam-auth-update para abrir el mensaje de configuración de PAM y asegúrese

de habilitar todos los perfiles de PAM con la tecla [espacio] como se ilustra en la captura de
pantalla de abajo.

Cuando termine, pulse la tecla [Tab] para pasar a Ok y aplicar los cambios.

$ sudo pam-auth-update
17. Ahora, abra el archivo /etc/nsswitch.conf con un editor de texto y agregue declaración
winbind al final de la contraseña y líneas de grupo como se ilustra en la captura de pantalla de
abajo.

$ sudo vi /etc/nsswitch.conf

18. Finalmente, edite el archivo /etc/pam.d/common-password , busque la línea a continuación

como se muestra en la captura de pantalla a continuación y elimine use_authtok declaración.

Esta configuración garantiza que los usuarios de Active Directory pueden cambiar su contraseña
desde la línea de comandos mientras se autentican en Linux. Con esta configuración activada, los
usuarios de AD autenticados localmente en Linux no pueden cambiar su contraseña desde la
consola.

password [success=1 default=ignore] pam_winbind.so try_first_pass

Elimine la opción use_authtok cada vez que las actualizaciones PAM se instalen y apliquen a
los módulos PAM o cada vez que ejecute el comando pam-auth-update .

19. Los binarios de Samba4 vienen con un demonio winbindd integrado y habilitado de forma
predeterminada.

Por esta razón, ya no es necesario habilitar y ejecutar por separado el

paquete winbind proporcionado por el winbind desde los repositorios oficiales de Ubuntu.

En caso de que el servicio antiguo y obsoleto winbind se inicie en el sistema, asegúrese de

deshabilitarlo y detener el servicio emitiendo los siguientes comandos:

$ sudo systemctl disable winbind.service

$ sudo systemctl stop winbind.service
Aunque ya no necesitamos ejecutar el antiguo demonio winbind, también necesitamos instalar el
paquete Winbind desde los repositorios para instalar y utilizar la herramienta wbinfo .

La utilidad Wbinfo se puede usar para consultar usuarios y grupos de Active Directory desde el
punto de vista del daemon winbindd .

Los siguientes comandos ilustran cómo consultar usuarios y grupos de AD mediante wbinfo .
$ wbinfo -g
$ wbinfo -u
$ wbinfo -i your_domain_user

20. Además de la utilidad wbinfo, también puede usar la utilidad de línea de

comandos getent para consultar la base de datos de Active Directory desde las bibliotecas de
Switches de servicio de nombres que se representan en < archivo> /etc/nsswitch.conf fuerte.

Pase el comando getent a través de un filtro grep para restringir los resultados con respecto a su
base de datos de usuarios o grupos de AD AD.

# getent passwd | grep TECMINT

# getent group | grep TECMINT
Paso 3: Iniciar sesión en Linux con un usuario de Active Directory

21. Para autenticarse en el sistema con un usuario de Samba4 AD, simplemente use el
parámetro nombre de usuario de AD después de su - comando.

En el primer inicio de sesión, aparecerá un mensaje en la consola que le

notificará que se ha creado un directorio de inicio en la ruta del
sistema /home/ con la melena de su nombre de usuario de AD.

Use comando de identificación para mostrar información adicional sobre el usuario

autenticado.

# su - your_ad_user
$ id
$ exit
22. Para cambiar la contraseña de un usuario de AD autenticado, escriba passwd
command en la consola después de haber iniciado sesión correctamente en el
sistema.

$ su - your_ad_user
$ passwd

23. Por defecto, a los usuarios de Active Directory no se les otorgan privilegios
de root para realizar tareas administrativas en Linux.

Para otorgar poderes de raíz a un usuario de AD, debe agregar el nombre de

usuario al grupo local sudo emitiendo el siguiente comando.

Asegúrese de incluir el reino, barra diagonal y nombre de usuario de AD con

comillas simples ASCII.

# usermod -aG sudo 'DOMAIN\your_domain_user'

Para probar si el usuario de AD tiene privilegios de root en el sistema local,
inicie sesión y ejecute un comando, como apt-get update , con permisos sudo.

# su - tecmint_user
$ sudo apt-get update
24. En caso de que desee agregar privilegios de raíz para todas las cuentas de un
grupo de Active Directory, edite el archivo /etc/sudoers mediante el
comando visudo y agregue la línea de abajo después de la línea de privilegios de
root, como se ilustra en la captura de pantalla de abajo:

%DOMAIN\your_domain\ group ALL=(ALL:ALL) ALL

Presta atención a la sintaxis de sudoers para que no te resistas.

El archivo de Sudoers no maneja muy bien el uso de comillas ASCII, así que
asegúrese de usar % para indicar que se está refiriendo a un grupo y use una
barra diagonal inversa para evite la primera barra después del nombre de dominio
y otra barra diagonal inversa para escapar de los espacios si el nombre de su
grupo contiene espacios (la mayoría de los grupos integrados de AD contienen
espacios de manera predeterminada). Además, escribe el reino con mayúsculas.
¡Eso es todo por ahora! La administración de Samba4 AD también se puede lograr
con varias herramientas del entorno Windows, como ADUC, Administrador de
DNS, GPM u otro, que puede obtenerse instalando el paquete RSAT desde la página
de descarga de Microsoft.

Para administrar Samba4 AD DC a través de RSAT, es absolutamente necesario unirse

al sistema de Windows en Active Directory de Samba4. Este será el tema de nuestro
próximo tutorial, hasta que estemos atentos a TecMint.