Upravljajte svoj Active Directory iz Linuxa z adtool
- Kategorija: Omrežje
Active Directory je eno tistih Microsoftovih orodij, ki jih toliko nima druge izbire kot za uporabo. Čeprav imam veliko raje LDAP, ker je tako lažje nastaviti in upravljati. Toda za večji del podjetniškega sveta je to orodje Active Directory. Ali to pomeni, da ste zaklenjeni v upravljanje Active Directory iz računalnika Windows? Ne. Če ste bitje ukazne vrstice, lahko z AD-jem upravljate iz ukazne vrstice Linux. To ni tako težko in na koncu boste imeli veliko več možnosti, da boste upravljali vaš AD strežnik.
Seveda ne gre samo za delo na koncu Linuxa. Na koncu držav članic je treba rešiti eno vprašanje. V strežniku AD morate aktivirati Secure LDAP. Ta postopek presega področje uporabe tega članka, vendar so koraki precej jasni.
Omogoči SLDAP
Tu je nekaj korakov za omogočanje varnega LDAP na vašem strežniku AD 2003 (izpustil bom podrobnosti):
- Ustvari zahtevo za potrdilo krmilnika domene Active Directory.
- Ustvari certifikacijski organ.
- Podpišite zahtevo za potrdilo s strani overitelja.
- Izvozi korenski certifikat.
- Uvozite overitelja korenskega potrdila na krmilnik domene.
- Uvozite certifikat strežnika LDAP na krmilnik domene.
- Nastavite računalnik UMRA (odjemalec LDAP).
- Preverite varne LDAPS z uporabo SSL.
Namestitev adtool
Na srečo bo adtool najden v skladiščih vaših distribucij. Vse kar morate storiti je, da sledite tem korakom:
- Zaženite Synaptic (ali karkoli dodajte / odstrani pripomoček programske opreme, ki ga uporabljate).
- Iščite 'adtool' (brez navedb).
- Označite rezultate za namestitev.
- Kliknite Uporabi za namestitev.
- Zapri Synaptic.
Konfiguriranje adtool
To je malo konfiguracije, s katero morate ravnati, preden lahko na strežniku AD uporabite adtool. Najprej ustvarite datoteko (če ne obstaja) /etc/adtool.cfg in dodajte naslednjo vsebino:
uri ldaps: //YOUR.DOMAIN.HERE
binddn cn = Administrator, cn = Uporabniki, dc = domena, dc = tld
bindpw $ PASSWORD
iskalna baza dc = domena, dc = tld
Kjer je YOUR.DOMAIN.HERE dejanski naslov na strežniku Active Directory.
Kjer je PASSWORD geslo za uporabnika AD, ki ima ustrezna dovoljenja za upravljanje strežnika AD.
Poskrbeti boste morali tudi za naslednje /etc/ldap/ldap.conf mapa:
OSNOV dc = VAŠ, dc = DOMAIN, dc = TUKAJ
URI ldaps: //YOUR.DOMAIN.HERE
TLS_REQCERT dovolijo
Brez zgornje konfiguracije ne boste mogli sprejeti SSL potrdil s strežnika.
Osnovna uporaba
Osnovna uporaba ukaza adtool je preprosta. Seveda boste morali razumeti Active Directory, da boste resnično razumeli uporabo tega orodja. Spodaj vam bom predstavil vzorce ukazov za ravnanje z osnovnimi nalogami za AD. Vse informacije v ALL CAPS bi bile spremenjene tako, da ustrezajo vašim potrebam.
Ustvarite novo organizacijsko enoto:
adtool oucreate IME ORGANIZACIJE ou = uporabnik, dc = DOMAIN, dc = COM
Dodaj uporabnika:
adtool useradd USER ou = ORGANIZATION ou = uporabnik, cd = DOMAIN, dc = COM
Nastavite uporabniško geslo:
adtool setpass USER PASSWORD
Odkleni uporabnika:
adtool unlock USER
Ustvari skupino
adtool groupcreate GROUP ou = uporabnik, cd = DOMAIN, dc = COM
Dodaj uporabnika v skupino:
adtool groupadd allusers USER
Dodajte e-poštni naslov za uporabnika:
adtool attributereplace USER pošta EMAIL @ ADDRESS
Končne misli
Resnično smo samo opraskali površino tega močnega orodja. Toda iz tega bi morali videti, kako preprost je lahko adtool in kako koristen je.