웹사이트 검색

Linux 명령줄에서 Samba4 AD 인프라를 관리하는 방법 - 2부

이 튜토리얼에서는 사용자 및 그룹 추가, 제거, 비활성화 또는 나열과 같이 Samba4 AD 도메인 컨트롤러 인프라를 관리하기 위해 사용해야 하는 몇 가지 기본 일일 명령을 다룹니다.

또한 AD 사용자가 Linux 도메인 컨트롤러에서 로컬 로그인을 수행할 수 있도록 도메인 보안 정책을 관리하는 방법과 AD 사용자를 로컬 PAM 인증에 바인딩하는 방법을 살펴보겠습니다.

요구사항

  1. Ubuntu 16.04에서 Samba4를 사용하여 AD 인프라 생성 – 1부
  2. RSAT를 통해 Windows10에서 Samba4 Active Directory 인프라 관리 - 3부
  3. Windows에서 Samba4 AD 도메인 컨트롤러 DNS 및 그룹 정책 관리 - 4부

1단계: 명령줄에서 Samba AD DC 관리

1. Samba AD DC는 도메인 관리를 위한 뛰어난 인터페이스를 제공하는 samba-tool 명령줄 유틸리티를 통해 관리할 수 있습니다.

Samba-tool 인터페이스를 사용하면 도메인 사용자 및 그룹, 도메인 그룹 정책, 도메인 사이트, DNS 서비스, 도메인 복제 및 기타 중요한 도메인 기능을 직접 관리할 수 있습니다.

samba-tool의 전체 기능을 검토하려면 옵션이나 매개변수 없이 루트 권한으로 명령을 입력하기만 하면 됩니다.

samba-tool -h

2. 이제 samba-tool 유틸리티를 사용하여 Samba4 Active Directory를 관리하고 사용자를 관리해 보겠습니다.

AD에서 사용자를 생성하려면 다음 명령을 사용하십시오.

samba-tool user add your_domain_user

AD에 필요한 몇 가지 중요한 필드가 있는 사용자를 추가하려면 다음 구문을 사용하십시오.

--------- review all options --------- 
samba-tool user add -h  
samba-tool user add your_domain_user --given-name=your_name --surname=your_username [email  --login-shell=/bin/bash

3. 다음 명령을 실행하면 모든 Samba AD 도메인 사용자 목록을 얻을 수 있습니다.

samba-tool user list

4. Samba AD 도메인 사용자를 삭제하려면 아래 구문을 사용하세요.

samba-tool user delete your_domain_user

5. 아래 명령을 실행하여 삼바 도메인 사용자 비밀번호를 재설정합니다.

samba-tool user setpassword your_domain_user

6. Samba AD 사용자 계정을 비활성화하거나 활성화하려면 아래 명령을 사용하십시오:

samba-tool user disable your_domain_user
samba-tool user enable your_domain_user

7. 마찬가지로 삼바 그룹은 다음 명령 구문을 사용하여 관리할 수 있습니다.

--------- review all options --------- 
samba-tool group add –h  
samba-tool group add your_domain_group

8. 아래 명령을 실행하여 삼바 도메인 그룹을 삭제합니다.

samba-tool group delete your_domain_group

9. 모든 Samba 도메인 그룹을 표시하려면 다음 명령을 실행하십시오:

samba-tool group list

10. 특정 그룹의 모든 Samba 도메인 구성원을 나열하려면 다음 명령을 사용하십시오.

samba-tool group listmembers "your_domain group"

11. 다음 명령 중 하나를 실행하여 삼바 도메인 그룹에서 구성원을 추가/제거할 수 있습니다.

samba-tool group addmembers your_domain_group your_domain_user
samba-tool group remove members your_domain_group your_domain_user

12. 앞서 언급했듯이 samba-tool 명령줄 인터페이스를 사용하여 Samba 도메인 정책 및 보안을 관리할 수도 있습니다.

삼바 도메인 비밀번호 설정을 검토하려면 아래 명령을 사용하십시오.

samba-tool domain passwordsettings show

13. 비밀번호 복잡성 수준, 비밀번호 유효 기간, 길이, 기억할 이전 비밀번호 수 및 도메인 컨트롤러에 필요한 기타 보안 기능과 같은 Samba 도메인 비밀번호 정책을 수정하려면 아래 스크린샷을 다음과 같이 사용하세요. 가이드.

---------- List all command options ---------- 
samba-tool domain passwordsettings -h

프로덕션 환경에서는 위에 설명된 대로 비밀번호 정책 규칙을 사용하지 마십시오. 위 설정은 데모 목적으로만 사용됩니다.

2단계: Active Directory 계정을 사용한 Samba 로컬 인증

14. 기본적으로 AD 사용자는 Samba AD DC 환경 외부의 Linux 시스템에서 로컬 로그인을 수행할 수 없습니다.

Active Directory 계정으로 시스템에 로그인하려면 Linux 시스템 환경을 다음과 같이 변경하고 Samba4 AD DC를 수정해야 합니다.

먼저, Samba 기본 구성 파일을 열고 아래 스크린샷에 표시된 대로 누락된 경우 아래 줄을 추가합니다.

sudo nano /etc/samba/smb.conf

구성 파일에 다음 명령문이 나타나는지 확인하십시오.

winbind enum users = yes
winbind enum groups = yes

15. 변경한 후 testparm 유틸리티를 사용하여 삼바 구성 파일에 오류가 없는지 확인하고 아래 명령을 실행하여 삼바 데몬을 다시 시작하세요.

testparm
sudo systemctl restart samba-ad-dc.service

16. 다음으로 Samba4 Active Directory 계정이 로컬 시스템에서 세션을 인증하고 열고 홈을 생성할 수 있도록 로컬 PAM 구성 파일을 수정해야 합니다. 첫 번째 로그인 시 사용자를 위한 디렉토리입니다.

pam-auth-update 명령을 사용하여 PAM 구성 프롬프트를 열고 아래 스크린샷에 표시된 대로 [space] 키를 사용하여 모든 PAM 프로필을 활성화했는지 확인하세요.

완료되면 [Tab] 키를 눌러 확인으로 이동하고 변경 사항을 적용합니다.

sudo pam-auth-update

17. 이제 텍스트 편집기로 /etc/nsswitch.conf 파일을 열고 비밀번호 및 그룹 줄 끝에 winbind 문을 추가합니다. 아래 스크린샷에 설명된 대로.

sudo vi /etc/nsswitch.conf

18. 마지막으로 /etc/pam.d/common-password 파일을 편집하고 아래 스크린샷에 표시된 대로 아래 줄을 검색한 후 use_authtok<을 제거합니다. 진술.

이 설정을 사용하면 Active Directory 사용자가 Linux에서 인증되는 동안 명령줄에서 비밀번호를 변경할 수 있습니다. 이 설정을 사용하면 Linux에서 로컬로 인증된 AD 사용자는 콘솔에서 비밀번호를 변경할 수 없습니다.

password       [success=1 default=ignore]      pam_winbind.so try_first_pass

PAM 업데이트가 설치되어 PAM 모듈에 적용될 때마다 또는 pam-auth-update 명령을 실행할 때마다 use_authtok 옵션을 제거하세요.

19. Samba4 바이너리에는 winbindd 데몬이 내장되어 있으며 기본적으로 활성화되어 있습니다.

이러한 이유로 더 이상 공식 Ubuntu 저장소에서 winbind 패키지가 제공하는 winbind 데몬을 별도로 활성화하고 실행할 필요가 없습니다.

오래되고 더 이상 사용되지 않는 winbind 서비스가 시스템에서 시작되는 경우 아래 명령을 실행하여 해당 서비스를 비활성화하고 서비스를 중지하십시오.

sudo systemctl disable winbind.service
sudo systemctl stop winbind.service

더 이상 이전 winbind 데몬을 실행할 필요가 없지만 wbinfo 도구를 설치하고 사용하려면 저장소에서 Winbind 패키지를 설치해야 합니다.

Wbinfo 유틸리티는 winbindd 데몬 관점에서 Active Directory 사용자 및 그룹을 쿼리하는 데 사용할 수 있습니다.

다음 명령은 wbinfo를 사용하여 AD 사용자 및 그룹을 쿼리하는 방법을 보여줍니다.

wbinfo -g
wbinfo -u
wbinfo -i your_domain_user

20. wbinfo 유틸리티 외에도 getent 명령줄 유틸리티를 사용하여 <에 표시된 이름 서비스 스위치 라이브러리에서 Active Directory 데이터베이스를 쿼리할 수도 있습니다. Strong>/etc/nsswitch.conf 파일.

AD 영역 사용자 또는 그룹 데이터베이스에 관한 결과 범위를 좁히려면 grep 필터를 통해 getent 명령을 파이프하세요.

getent passwd | grep TECMINT
getent group | grep TECMINT

3단계: Active Directory 사용자로 Linux에 로그인

21. Samba4 AD 사용자로 시스템에서 인증하려면 su -AD 사용자 이름 매개변수를 사용하세요. 코드> 명령.

처음 로그인하면 AD 사용자 이름을 사용하여 /home/$DOMAIN/ 시스템 경로에 홈 디렉터리가 생성되었음을 알리는 메시지가 콘솔에 표시됩니다.

인증된 사용자에 대한 추가 정보를 표시하려면 id 명령을 사용하세요.

su - your_ad_user
id
exit

22. 인증된 AD 사용자의 비밀번호를 변경하려면 시스템에 성공적으로 로그인한 후 콘솔에 passwd 명령을 입력하세요.

su - your_ad_user
passwd

23. 기본적으로 Active Directory 사용자에게는 Linux에서 관리 작업을 수행하기 위한 루트 권한이 부여되지 않습니다.

AD 사용자에게 루트 권한을 부여하려면 아래 명령을 실행하여 로컬 sudo 그룹에 사용자 이름을 추가해야 합니다.

영역, 슬래시AD 사용자 이름을 작은 ASCII 따옴표로 묶어야 합니다.

usermod -aG sudo 'DOMAIN\your_domain_user'

AD 사용자에게 로컬 시스템에 대한 루트 권한이 있는지 테스트하려면 로그인하고 sudo 권한으로 apt-get update와 같은 명령을 실행하세요.

su - tecmint_user
sudo apt-get update

24. Active Directory 그룹의 모든 계정에 루트 권한을 추가하려면 visudo 명령을 사용하여 /etc/sudoers 파일을 편집하고 아래 스크린샷에 표시된 대로 루트 권한 줄 뒤에 아래 줄을 추가합니다.

%DOMAIN\\your_domain\  group ALL=(ALL:ALL) ALL

문제가 발생하지 않도록 sudoers 구문에 주의하세요.

Sudoers 파일은 ASCII 따옴표 사용을 잘 처리하지 않으므로 %를 사용하여 그룹을 참조하고 있음을 표시하고 백슬래시를 사용하여 그룹을 참조하는지 확인하세요. 그룹 이름에 공백이 포함된 경우 도메인 이름 뒤의 첫 번째 슬래시를 이스케이프하고 다른 백슬래시를 이스케이프하여 공백을 이스케이프합니다(대부분의 AD 기본 제공 그룹에는 기본적으로 공백이 포함되어 있습니다). 또한 영역을 대문자로 작성하십시오.

지금은 여기까지입니다! Samba4 AD 인프라 관리는 ADUC, DNS Manager, GPM 과 같은 Windows 환경의 여러 도구를 사용하여 수행할 수도 있습니다. 또는 기타 Microsoft 다운로드 페이지에서 RSAT 패키지를 설치하여 얻을 수 있습니다.

RSAT 유틸리티를 통해 Samba4 AD DC를 관리하려면 Windows 시스템을 Samba4 Active Directory에 연결해야 합니다. 이것이 다음 튜토리얼의 주제가 될 것입니다. 그때까지 TecMint를 계속 지켜봐 주시기 바랍니다.