Керуйте Active Directory з Linux за допомогою adtool
- Категорія: Мережа
Active Directory - один із тих інструментів Microsoft, яким так багато інших не залишається нічого іншого, як використовувати. Хоча я дуже віддаю перевагу LDAP, тому що це набагато простіше в налаштуванні та управлінні. Але для більшої частини корпоративного світу Active Directory використовується інструментом. Це означає, що ви заблоковані в управлінні Active Directory з машини Windows? Ні. Якщо ви створите командний рядок, ви можете керувати AD за допомогою командного рядка Linux. Це не так складно, і, врешті-решт, ви дасте набагато більше варіантів для управління вашим сервером AD.
Звичайно, справа не лише в роботі над кінцем речей Linux. Існує одне питання, яке потрібно вирішити на кінцевому рахунку. Вам потрібно активувати захищений LDAP на сервері AD. Цей процес виходить за межі цієї статті, але кроки досить чіткі.
Увімкнути SLDAP
Ось такі кроки для ввімкнення захищеного LDAP на вашому сервері AD 2003 (я не залишаю деталі):
- Створіть запит на сертифікат контролера домену Active Directory.
- Створіть орган з сертифікації.
- Підпишіть запит на сертифікацію органом із сертифікації.
- Експортуйте кореневий сертифікат.
- Імпортуйте сервер сертифікації кореневих сертифікатів на контролер домену.
- Імпортуйте сертифікат сервера LDAP на контролер домену.
- Налаштуйте комп'ютер UMRA (клієнт LDAP).
- Перевірте безпечний LDAPS за допомогою SSL.
Встановлення adtool
На щастя, adtool знайдеться у сховищах вашого дистрибутива. Тому все, що вам потрібно зробити, - це виконати наступні дії:
- Запустіть Synaptic (або залежно від утиліти Add / Remove Software, яку ви використовуєте).
- Здійсніть пошук 'adtool' (без лапок).
- Позначте результати для встановлення.
- Клацніть Застосувати, щоб встановити.
- Закрити Synaptic.
Налаштування adtool
Це трохи конфігурації, з якою вам потрібно обробитись, перш ніж використовувати adtool на своєму AD-сервері. Спочатку створіть файл (якщо він не існує) /etc/adtool.cfg і додайте наступний вміст:
uri ldaps: //YOUR.DOMAIN.HERE
binddn cn = Адміністратор, cn = Користувачі, dc = домен, dc = tld
bindpw $ ПАРОЛЬ
пошукова база dc = домен, dc = tld
Там, де YOUR.DOMAIN.HERE - фактична адреса до вашого сервера Active Directory.
Де PASSWORD - це пароль для користувача AD, який має належні дозволи на управління сервером AD.
Вам також потрібно буде переконатися, що у вашому є наступне /etc/ldap/ldap.conf файл:
БАЗА dc = ВАШ, dc = ДОМІНА, dc = ТУТ
URI ldaps: //YOUR.DOMAIN.HERE
TLS_REQCERT дозволяють
Без наведеної вище конфігурації ви не зможете приймати сертифікати SSL від сервера.
Основне використання
Основне використання команди adtool просте. Звичайно, вам доведеться зрозуміти Active Directory, щоб реально зрозуміти використання цього інструменту. Нижче я наведу вам зразки команд для обробки основних завдань для AD. Будь-яка інформація у ВСІХ КАПС буде змінена відповідно до ваших потреб.
Створіть новий організаційний підрозділ:
adtool oucreate НАЗВАННЯ ОРГАНІЗАЦІЇ ou = користувач, dc = DOMAIN, dc = COM
Додати користувача:
adtool useradd USER ou = ОРГАНІЗАЦІЯ ou = користувач, cd = DOMAIN, dc = COM
Встановлення пароля користувача:
adtool setpass US PASSWORD
Розблокувати користувача:
adtool unlock USER
Створіть групу
adtool groupcreate GROUP ou = користувач, cd = DOMAIN, dc = COM
Додавання користувача до групи:
adtool groupadd allusers USER
Додайте електронну адресу для користувача:
adtool attributereplace користувач mail EMAIL @ ADDRESS
Заключні думки
Ми лише справді подряпали поверхню цього потужного інструменту. Але з цього ви повинні бачити, наскільки легкий може бути adtool, а також наскільки він корисний.