Cara Mengelola Infrastruktur Samba4 AD dari Command Line Linux - Bagian 2
Tutorial ini akan membahas beberapa perintah dasar harian yang perlu Anda gunakan untuk mengelola infrastruktur Pengontrol Domain Samba4 AD, seperti menambahkan, menghapus, menonaktifkan, atau mencantumkan pengguna dan grup.
Kami juga akan melihat cara mengelola kebijakan keamanan domain dan cara mengikat pengguna AD ke otentikasi PAM lokal agar pengguna AD dapat melakukan login lokal di Pengontrol Domain Linux.
Persyaratan
- Buat Infrastruktur AD dengan Samba4 di Ubuntu 16.04 – Bagian 1
- Kelola Infrastruktur Direktori Aktif Samba4 dari Windows10 melalui RSAT – Bagian 3
- Kelola DNS Pengontrol Domain Samba4 AD dan Kebijakan Grup dari Windows – Bagian 4
Langkah 1: Kelola Samba AD DC dari Command Line
1. Samba AD DC dapat dikelola melalui utilitas baris perintah samba-tool yang menawarkan antarmuka hebat untuk mengelola domain Anda.
Dengan bantuan antarmuka alat samba Anda dapat langsung mengelola pengguna dan grup domain, Kebijakan Grup domain, situs domain, layanan DNS, replikasi domain, dan fungsi domain penting lainnya.
Untuk meninjau seluruh fungsi samba-tool cukup ketik perintah dengan hak akses root tanpa opsi atau parameter apa pun.
samba-tool -h
2. Sekarang, mari mulai menggunakan utilitas samba-tool untuk mengelola Samba4 Active Directory dan mengelola pengguna kami.
Untuk membuat pengguna di AD gunakan perintah berikut:
samba-tool user add your_domain_user
Untuk menambahkan pengguna dengan beberapa bidang penting yang diperlukan oleh AD, gunakan sintaks berikut:
--------- review all options ---------
samba-tool user add -h
samba-tool user add your_domain_user --given-name=your_name --surname=your_username [email --login-shell=/bin/bash
3. Daftar semua pengguna domain samba AD dapat diperoleh dengan mengeluarkan perintah berikut:
samba-tool user list
4. Untuk menghapus pengguna domain samba AD gunakan sintaksis di bawah ini:
samba-tool user delete your_domain_user
5. Reset kata sandi pengguna domain samba dengan menjalankan perintah di bawah ini:
samba-tool user setpassword your_domain_user
6. Untuk menonaktifkan atau mengaktifkan akun Pengguna samba AD gunakan perintah di bawah ini:
samba-tool user disable your_domain_user
samba-tool user enable your_domain_user
7. Demikian pula, grup samba dapat dikelola dengan sintaks perintah berikut:
--------- review all options ---------
samba-tool group add –h
samba-tool group add your_domain_group
8. Hapus grup domain samba dengan mengeluarkan perintah di bawah ini:
samba-tool group delete your_domain_group
9. Untuk menampilkan semua grup domain samba, jalankan perintah berikut:
samba-tool group list
10. Untuk mencantumkan semua anggota domain samba di grup tertentu gunakan perintah:
samba-tool group listmembers "your_domain group"
11. Menambah/Menghapus anggota dari grup domain samba dapat dilakukan dengan mengeluarkan salah satu perintah berikut:
samba-tool group addmembers your_domain_group your_domain_user
samba-tool group remove members your_domain_group your_domain_user
12. Seperti disebutkan sebelumnya, antarmuka baris perintah alat samba juga dapat digunakan untuk mengelola kebijakan dan keamanan domain samba Anda.
Untuk meninjau pengaturan kata sandi domain samba Anda gunakan perintah di bawah ini:
samba-tool domain passwordsettings show
13. Untuk mengubah kebijakan kata sandi domain samba, seperti tingkat kerumitan kata sandi, penuaan kata sandi, panjang kata sandi, berapa banyak kata sandi lama yang perlu diingat dan fitur keamanan lainnya yang diperlukan untuk Pengontrol Domain, gunakan tangkapan layar di bawah ini sebagai panduan.
---------- List all command options ----------
samba-tool domain passwordsettings -h
Jangan pernah menggunakan aturan kebijakan kata sandi seperti yang diilustrasikan di atas pada lingkungan produksi. Pengaturan di atas digunakan hanya untuk tujuan demonstrasi.
Langkah 2: Otentikasi Lokal Samba Menggunakan Akun Direktori Aktif
14. Secara default, pengguna AD tidak dapat melakukan login lokal pada sistem Linux di luar lingkungan Samba AD DC.
Untuk masuk ke sistem dengan akun Direktori Aktif Anda perlu melakukan perubahan berikut pada lingkungan sistem Linux Anda dan memodifikasi Samba4 AD DC.
Pertama, buka file konfigurasi utama samba dan tambahkan baris di bawah ini, jika tidak ada, seperti yang diilustrasikan pada gambar di bawah.
sudo nano /etc/samba/smb.conf
Pastikan pernyataan berikut muncul pada file konfigurasi:
winbind enum users = yes
winbind enum groups = yes
15. Setelah Anda melakukan perubahan, gunakan utilitas testparm untuk memastikan tidak ada kesalahan yang ditemukan pada file konfigurasi samba dan mulai ulang daemon samba dengan mengeluarkan perintah di bawah ini.
testparm
sudo systemctl restart samba-ad-dc.service
16. Selanjutnya, kita perlu memodifikasi file konfigurasi PAM lokal agar akun Samba4 Active Directory dapat mengautentikasi dan membuka sesi pada sistem lokal dan membuat home direktori untuk pengguna saat login pertama.
Gunakan perintah pam-auth-update untuk membuka perintah konfigurasi PAM dan pastikan Anda mengaktifkan semua profil PAM menggunakan tombol [spasi] seperti yang diilustrasikan pada tangkapan layar di bawah.
Setelah selesai tekan tombol [Tab] untuk berpindah ke Oke dan menerapkan perubahan.
sudo pam-auth-update
17. Sekarang, buka file /etc/nsswitch.conf dengan editor teks dan tambahkan pernyataan winbind di akhir baris kata sandi dan grup seperti yang diilustrasikan pada tangkapan layar di bawah ini.
sudo vi /etc/nsswitch.conf
18. Terakhir, edit file /etc/pam.d/common-password, cari baris di bawah ini seperti yang diilustrasikan pada tangkapan layar di bawah dan hapus use_authtok pernyataan.
Pengaturan ini memastikan bahwa pengguna Direktori Aktif dapat mengubah kata sandi mereka dari baris perintah saat diautentikasi di Linux. Dengan mengaktifkan pengaturan ini, pengguna AD yang diautentikasi secara lokal di Linux tidak dapat mengubah kata sandi mereka dari konsol.
password [success=1 default=ignore] pam_winbind.so try_first_pass
Hapus opsi use_authtok setiap kali pembaruan PAM diinstal dan diterapkan ke modul PAM atau setiap kali Anda menjalankan perintah pam-auth-update.
19. Biner Samba4 hadir dengan daemon winbindd bawaan dan diaktifkan secara default.
Oleh karena itu, Anda tidak perlu lagi mengaktifkan dan menjalankan daemon winbind secara terpisah yang disediakan oleh paket winbind dari repositori resmi Ubuntu.
Jika layanan winbind yang lama dan tidak digunakan lagi dimulai pada sistem, pastikan Anda menonaktifkannya dan menghentikan layanan dengan mengeluarkan perintah di bawah ini:
sudo systemctl disable winbind.service
sudo systemctl stop winbind.service
Meskipun, kita tidak perlu lagi menjalankan daemon winbind lama, kita masih perlu menginstal paket Winbind dari repositori untuk menginstal dan menggunakan alat wbinfo.
Utilitas Wbinfo dapat digunakan untuk menanyakan pengguna dan grup Direktori Aktif dari sudut pandang daemon winbindd.
Perintah berikut mengilustrasikan cara menanyakan pengguna dan grup AD menggunakan wbinfo.
wbinfo -g
wbinfo -u
wbinfo -i your_domain_user
20. Selain utilitas wbinfo Anda juga dapat menggunakan utilitas baris perintah getent untuk menanyakan database Direktori Aktif dari pustaka Name Service Switch yang diwakili dalam < file/etc/nsswitch.conf.
Masukkan perintah getent melalui filter grep untuk mempersempit hasil hanya mengenai basis data grup atau pengguna ranah AD Anda.
getent passwd | grep TECMINT
getent group | grep TECMINT
Langkah 3: Masuk di Linux dengan Pengguna Direktori Aktif
21. Untuk mengautentikasi sistem dengan pengguna Samba4 AD, cukup gunakan parameter nama pengguna AD setelah su - perintah.
Pada login pertama, sebuah pesan akan ditampilkan di konsol yang memberitahukan Anda bahwa direktori home telah dibuat di jalur sistem /home/$DOMAIN/ dengan nama pengguna AD Anda.
Gunakan perintah id untuk menampilkan informasi tambahan tentang pengguna yang diautentikasi.
su - your_ad_user
id
exit
22. Untuk mengubah kata sandi pengguna AD yang diautentikasi, ketik perintah passwd di konsol setelah Anda berhasil masuk ke sistem.
su - your_ad_user
passwd
23. Secara default, pengguna Direktori Aktif tidak diberikan hak akses root untuk melakukan tugas administratif di Linux.
Untuk memberikan kekuatan root kepada pengguna AD Anda harus menambahkan nama pengguna ke grup sudo lokal dengan mengeluarkan perintah di bawah ini.
Pastikan Anda mengapit ranah, garis miring, dan nama pengguna AD dengan tanda kutip tunggal ASCII.
usermod -aG sudo 'DOMAIN\your_domain_user'
Untuk menguji apakah pengguna AD memiliki hak akses root pada sistem lokal, login dan jalankan perintah, seperti apt-get update, dengan izin sudo.
su - tecmint_user
sudo apt-get update
24. Jika Anda ingin menambahkan hak akses root untuk semua akun grup Direktori Aktif, edit file /etc/sudoers menggunakan perintah visudo dan tambahkan baris di bawah ini setelah baris hak akses root, seperti yang diilustrasikan pada gambar di bawah:
%DOMAIN\\your_domain\ group ALL=(ALL:ALL) ALL
Perhatikan sintaks sudoers agar Anda tidak memecahkan masalah.
File Sudoers tidak menangani penggunaan tanda kutip ASCII dengan baik, jadi pastikan Anda menggunakan % untuk menunjukkan bahwa Anda merujuk ke suatu grup dan gunakan garis miring terbalik untuk hindari garis miring pertama setelah nama domain dan garis miring terbalik lainnya untuk menghindari spasi jika nama grup Anda berisi spasi (sebagian besar grup bawaan AD berisi spasi secara default). Juga, tulis ranah dengan huruf besar.
Itu saja untuk saat ini! Mengelola infrastruktur Samba4 AD juga dapat dicapai dengan beberapa alat dari lingkungan Windows, seperti ADUC, DNS Manager, GPM atau lainnya, yang dapat diperoleh dengan menginstal paket RSAT dari halaman unduh Microsoft.
Untuk mengelola Samba4 AD DC melalui utilitas RSAT, sistem Windows harus digabungkan ke dalam Direktori Aktif Samba4. Ini akan menjadi subjek tutorial kami berikutnya, nantikan terus TecMint.