Beheer uw Active Directory vanuit Linux met adtool
- Categorie: Netwerk
Active Directory is een van die Microsoft-tools waarvan velen geen andere keuze hebben dan ze te gebruiken. Hoewel ik veel de voorkeur geef aan LDAP, omdat het zo veel gemakkelijker is in te stellen en te beheren. Maar voor een groot deel van de bedrijfswereld is Active Directory de tool die wordt gebruikt. Betekent dit dat u vast zit in het beheren van Active Directory vanaf een Windows-computer? Nee. Als je een wezen bent van de opdrachtregel, kun je je AD beheren vanaf de Linux-opdrachtregel. Het is niet zo moeilijk en geeft je uiteindelijk veel meer opties om je AD-server beheerd te houden.
Het is natuurlijk niet alleen een kwestie van werken aan de Linux-kant van de dingen. Er is één probleem dat moet worden opgelost aan de kant van de MS. U moet Secure LDAP op uw AD-server activeren. Dit proces valt buiten het bestek van dit artikel, maar de stappen zijn vrij duidelijk.
Schakel SLDAP in
Hier zijn de stappen om Secure LDAP in te schakelen op uw Windows 2003 AD-server (ik laat de details weg):
- Maak een certificaatverzoek voor een Active Directory-domeincontroller.
- Creëer een certificeringsinstantie.
- Onderteken de certificaataanvraag door de certificeringsinstantie.
- Exporteer de basiscertificeringsinstantie.
- Importeer de basiscertificeringsinstantie in de domeincontroller.
- Importeer het LDAP-servercertificaat op de domeincontroller.
- Stel de UMRA (LDAP Client) computer in.
- Verifieer Secure LDAPS met SSL.
Adtool
Gelukkig is een tool te vinden in de repositories van uw distributies. U hoeft dus alleen maar deze stappen te volgen:
- Start Synaptic (of welk hulpprogramma voor het toevoegen / verwijderen van software u ook gebruikt).
- Zoek naar 'adtool' (geen aanhalingstekens).
- Markeer de resultaten voor installatie.
- Klik op Toepassen om te installeren.
- Sluit Synaptic.
Adtool configureren
Dit is een beetje configuratie die u moet afhandelen voordat u adtool op uw AD-server kunt gebruiken. Maak eerst het bestand (als het nog niet bestaat) /etc/adtool.cfg en voeg de volgende inhoud toe:
uri ldaps: //UW.DOMEIN.HIER
binddn cn = Administrator, cn = Gebruikers, dc = domein, dc = tld
bindpw $ PASSWORD
zoekbasis dc = domein, dc = tld
Waar YOUR.DOMAIN.HERE het daadwerkelijke adres van uw Active Directory-server is.
Waarbij PASSWORD het wachtwoord is voor de AD-gebruiker die de juiste machtigingen heeft om de AD-server te beheren.
U moet er ook voor zorgen dat het volgende in uw /etc/ldap/ldap.conf het dossier:
BASIS stk = UW, stk = DOMEIN, stk = HIER
URI ldaps: //YOUR.DOMAIN.HERE
TLS_REQCERT toestaan
Zonder de bovenstaande configuratie kunt u de SSL-certificaten van de server niet accepteren.
Basisgebruik
Het basisgebruik van het adtool-commando is eenvoudig. Natuurlijk moet u Active Directory begrijpen om het gebruik van deze tool echt te begrijpen. Hieronder zal ik u voorbeelden geven van opdrachten om de basistaken voor AD uit te voeren. Alle informatie in HOOFDLETTERS wordt aangepast aan uw behoeften.
Maak een nieuwe organisatie-eenheid:
adtool oucreate ORGANISATIENAAM ou = user, dc = DOMAIN, dc = COM
Voeg een gebruiker toe:
adtool useradd USER ou = ORGANIZATION ou = user, cd = DOMAIN, dc = COM
Stel een gebruikerswachtwoord in:
adtool setpass GEBRUIKERSWACHTWOORD
Ontgrendel een gebruiker:
adtool unlock USER
Een groep maken
adtool groupcreate GROUP ou = user, cd = DOMAIN, dc = COM
Voeg een gebruiker toe aan een groep:
adtool groupadd allusers USER
Voeg een e-mailadres toe voor de gebruiker:
adtool attributerplace USER mail EMAIL @ ADDRESS
Laatste gedachten
We hebben pas echt het oppervlak van deze krachtige tool bekrast. Maar hieruit zou je moeten kunnen zien hoe gemakkelijk adtool kan zijn en hoe nuttig het is.