Gerencie seu Active Directory do Linux com adtool
- Categoria: Rede
O Active Directory é uma daquelas ferramentas da Microsoft que muitos não têm escolha a não ser usar. Embora eu prefira o LDAP porque é muito mais fácil de configurar e gerenciar. Mas para grande parte do mundo corporativo, o Active Directory é a ferramenta usada. Isso significa que você está bloqueado para gerenciar o Active Directory em uma máquina Windows? Não. Se você é uma criatura da linha de comando, você pode gerenciar seu AD a partir da linha de comando do Linux. Não é tão difícil e, no final, fornecerá muito mais opções para manter seu servidor AD gerenciado.
É claro que não é apenas uma questão de trabalhar no lado Linux das coisas. Há uma questão a ser resolvida no lado MS. Você deve ativar o LDAP seguro em seu servidor AD. Esse processo vai além do escopo deste artigo, mas as etapas são bem claras.
Habilitar SLDAP
Aqui estão as etapas para habilitar o LDAP seguro em seu servidor AD do Windows 2003 (vou deixar os detalhes de fora):
- Crie uma solicitação de certificado de controlador de domínio do Active Directory.
- Crie uma Autoridade de Certificação.
- Assine a solicitação de certificado pela Autoridade de Certificação.
- Exporte a autoridade de certificação do certificado raiz.
- Importe a autoridade de certificação do certificado raiz para o controlador de domínio.
- Importe o certificado do servidor LDAP para o controlador de domínio.
- Configure o computador UMRA (Cliente LDAP).
- Verifique o LDAPS seguro usando SSL.
Instalando adtool
Felizmente adtool pode ser encontrado nos repositórios de suas distribuições. Portanto, tudo o que você precisa fazer é seguir estas etapas:
- Abra o Synaptic (ou qualquer utilitário Adicionar / Remover Software que você usar).
- Faça uma busca por 'adtool' (sem aspas).
- Marque os resultados para instalação.
- Clique em Aplicar para instalar.
- Fechar Synaptic.
Configurando adtool
Esta é uma parte da configuração que você precisa controlar antes de usar o adtool em seu servidor AD. Primeiro crie o arquivo (se ele não existir) /etc/adtool.cfg e adicione o seguinte conteúdo:
uri ldaps: // SEU.DOMÍNIO.AQUI
binddn cn = Administrador, cn = Usuários, dc = domínio, dc = tld
bindpw $ PASSWORD
searchbase dc = domínio, dc = tld
Onde YOUR.DOMAIN.HERE é o endereço real do servidor Active Directory.
Onde PASSWORD é a senha do usuário AD que possui as permissões adequadas para gerenciar o servidor AD.
Você também precisará certificar-se de que o seguinte está em seu /etc/ldap/ldap.conf Arquivo:
BASE dc = SEU, dc = DOMÍNIO, dc = AQUI
URI ldaps: // SEU.DOMÍNIO.AQUI
TLS_REQCERT permitir
Sem a configuração acima, você não poderá aceitar os certificados SSL do servidor.
Uso básico
O uso básico do comando adtool é simples. Claro, você terá que entender o Active Directory para realmente entender o uso dessa ferramenta. A seguir, darei exemplos de comandos para lidar com as tarefas básicas do AD. Qualquer informação em MAIÚSCULAS seria alterada para atender às suas necessidades.
Crie uma nova unidade organizacional:
adtool oucreate NOME DA ORGANIZAÇÃO ou = usuário, dc = DOMÍNIO, dc = COM
Adicionar um usuário:
adtool useradd USER ou = ORGANIZATION ou = user, cd = DOMAIN, dc = COM
Defina uma senha de usuário:
adtool setpass SENHA DE USUÁRIO
Desbloquear um usuário:
adtool unlock USER
Crie um grupo
adtool groupcreate GROUP ou = user, cd = DOMAIN, dc = COM
Adicionar um usuário a um grupo:
adtool groupadd allusers USER
Adicione um endereço de e-mail para o usuário:
adtool atributereplace USER mail EMAIL @ ADDRESS
Pensamentos finais
Nós realmente apenas arranhamos a superfície desta ferramenta poderosa. Mas com isso você deve ser capaz de ver como adtool pode ser fácil e útil.