Administrer Active Directory fra Linux med adtool
- Kategori: Nettverk
Active Directory er et av disse Microsoft-verktøyene som så mange ikke har annet valg enn å bruke. Selv om jeg mye foretrekker LDAP fordi det er så mye lettere å konfigurere og administrere. Men for store deler av bedriftsverdenen er Active Directory verktøyet som brukes. Betyr dette at du er låst til å administrere Active Directory fra en Windows-maskin? Nei. Hvis du er en skapning av kommandolinjen, kan du administrere annonsen din fra Linux-kommandolinjen. Det er ikke så vanskelig og til slutt vil gi deg mange flere alternativer for å holde AD-serveren din administrert.
Det handler selvfølgelig ikke bare om å jobbe med Linux-enden av ting. Det er ett problem å avgjøre på MS-enden. Du må aktivere Secure LDAP på AD-serveren din. Denne prosessen går utover omfanget av denne artikkelen, men trinnene er ganske tydelige.
Aktiver SLDAP
Her er trinnene for å aktivere Secure LDAP på Windows 2003 AD-serveren din (jeg vil utelate detaljene):
- Opprett en Active Directory-domenekontroller sertifikatforespørsel.
- Opprett en sertifiseringsinstans.
- Signer sertifikatforespørselen fra sertifiseringsinstansen.
- Eksporter sertifiseringsinstansen for rotsertifikat.
- Importer sertifiseringsinstansen for rotsertifikat til domenekontrolleren.
- Importer LDAP Server-sertifikatet til domenekontrolleren.
- Konfigurer UMRA (LDAP Client) datamaskinen.
- Bekreft sikre LDAPS ved hjelp av SSL.
Installerer adtool
Heldigvis finner du adtool i distribusjonslagrene. Så alt du trenger å gjøre er å følge disse trinnene:
- Slå av Synaptic (eller hvilken som helst Legg til / fjern programvareverktøy du bruker).
- Søk etter 'adtool' (ingen anførselstegn).
- Merk resultatene for installasjon.
- Klikk Bruk for å installere.
- Lukk Synaptic.
Konfigurere adtool
Dette er litt av konfigurasjonen du trenger å håndtere før du kan bruke adtool på AD-serveren din. Opprett først filen (hvis den ikke eksisterer) /etc/adtool.cfg og legg til følgende innhold:
uri ldaps: //YOUR.DOMAIN.HERE
binddn cn = Administrator, cn = Brukere, dc = domene, dc = tld
bindpw $ PASSWORD
søkebase dc = domene, dc = tld
Hvor YOUR.DOMAIN.HERE er den faktiske adressen til Active Directory-serveren din.
Hvor PASSWORD er passordet for AD-brukeren som har riktige tillatelser til å administrere AD-serveren.
Du må også sørge for at følgende ligger i din /etc/ldap/ldap.conf fil:
GRUNNLAG dc = DIN, dc = DOMAIN, dc = HER
URI ldaps: //YOUR.DOMAIN.HERE
TLS_REQCERT tillate
Uten konfigurasjonen ovenfor vil du ikke kunne godta SSL-sertifikater fra serveren.
Grunnleggende bruk
Den grunnleggende bruken av adtool-kommandoen er enkel. Selvfølgelig må du forstå Active Directory for virkelig å forstå bruken av dette verktøyet. Nedenfor vil jeg gi deg eksempler på kommandoer for å håndtere de grunnleggende oppgavene for AD. All informasjon i ALLE CAPS vil bli endret for å passe dine behov.
Opprett en ny organisasjonsenhet:
adtool oucreate ORGANISATION NAME ou = user, dc = DOMAIN, dc = COM
Legg til en bruker:
adtool useradd BRUKER ou = ORGANISASJON ou = bruker, cd = DOMAIN, dc = COM
Angi et brukerpassord:
adtool setpass USER PASSWORD
Lås opp en bruker:
adtool unlock USER
Opprett en gruppe
adtool groupcreate GROUP ou = bruker, cd = DOMAIN, dc = COM
Legg til en bruker i en gruppe:
adtool groupadd allusers BRUKER
Legg til en e-postadresse for brukeren:
adtool attributereplace USER mail EMAIL @ ADDRESS
Siste tanker
Vi har bare skrapt på overflaten til dette kraftige verktøyet. Men ut fra dette skal du kunne se hvor enkel adtool kan være så bra som hvor nyttig det er.