Управляйте своей Active Directory из Linux с помощью adtool

Active Directory - один из тех инструментов Microsoft, которым многим ничего не остается, кроме как использовать. Хотя я предпочитаю LDAP, потому что его намного проще настроить и управлять. Но для большей части корпоративного мира Active Directory - это инструмент, который используется. Означает ли это, что вы заблокированы в управлении Active Directory с компьютера Windows? Нет. Если вы являетесь создателем командной строки, вы можете управлять своим AD из командной строки Linux. Это не так уж сложно и, в конце концов, даст вам гораздо больше возможностей для управления вашим сервером AD.

Конечно, дело не только в работе над Linux. Остается решить один вопрос на стороне MS. Вы должны активировать Secure LDAP на своем сервере AD. Этот процесс выходит за рамки данной статьи, но шаги довольно ясны.

Включить SLDAP

Вот шаги, чтобы включить Secure LDAP на вашем сервере Windows 2003 AD (я не буду останавливаться на достигнутом):

  1. Создайте запрос сертификата контроллера домена Active Directory.
  2. Создайте центр сертификации.
  3. Подпишите запрос сертификата центром сертификации.
  4. Экспортируйте корневой центр сертификации сертификатов.
  5. Импортируйте центр сертификации корневых сертификатов на контроллер домена.
  6. Импортируйте сертификат сервера LDAP в контроллер домена.
  7. Настройте компьютер UMRA (клиент LDAP).
  8. Проверьте безопасный LDAPS с помощью SSL.

Установка AdTool

К счастью, adtool можно найти в репозиториях ваших дистрибутивов. Итак, все, что вам нужно сделать, это выполнить следующие действия:

  1. Запустите Synaptic (или какую бы утилиту добавления / удаления программного обеспечения вы ни использовали).
  2. Выполните поиск по запросу 'рекламный инструмент' (без кавычек).
  3. Отметьте результаты для установки.
  4. Нажмите Применить, чтобы установить.
  5. Закройте Synaptic.

Настройка adtool

Это небольшая конфигурация, которую вам необходимо выполнить, прежде чем вы сможете использовать adtool на своем сервере AD. Сначала создайте файл (если он не существует) /etc/adtool.cfg и добавьте следующее содержимое:

uri ldaps: // ВАШ ДОМЕН.ЗДЕСЬ
binddn cn = администратор, cn = пользователи, dc = домен, dc = tld
bindpw $ ПАРОЛЬ
searchbase dc = domain, dc = tld

Где YOUR.DOMAIN.HERE - фактический адрес вашего сервера Active Directory.

Где PASSWORD - это пароль для пользователя AD, у которого есть соответствующие разрешения на управление сервером AD.

Вам также необходимо убедиться, что в вашем /etc/ldap/ldap.conf файл:

БАЗА dc = ВАШ, dc = ДОМЕН, dc = ЗДЕСЬ
URI ldaps: // ВАШ ДОМЕН.ЗДЕСЬ
TLS_REQCERT разрешить

Без указанной выше конфигурации вы не сможете принимать сертификаты SSL с сервера.

Основное использование

Базовое использование команды adtool простое. Конечно, вам придется разбираться в Active Directory, чтобы действительно понимать использование этого инструмента. Ниже я дам вам примеры команд для решения основных задач AD. Любая информация, указанная ВСЕМИ ЗАГЛАВНЫМИ буквами, будет изменена в соответствии с вашими потребностями.

Создайте новую организационную единицу:

adtool oucreate НАЗВАНИЕ ОРГАНИЗАЦИИ ou = user, dc = DOMAIN, dc = COM

Добавить пользователя:

adtool useradd ПОЛЬЗОВАТЕЛЬ ou = ОРГАНИЗАЦИЯ ou = пользователь, cd = DOMAIN, dc = COM

Установите пароль пользователя:

adtool setpass ПАРОЛЬ ПОЛЬЗОВАТЕЛЯ

Разблокировать пользователя:

adtool unlock ПОЛЬЗОВАТЕЛЬ

Создать группу

adtool groupcreate GROUP ou = user, cd = DOMAIN, dc = COM

Добавить пользователя в группу:

adtool groupadd allusers ПОЛЬЗОВАТЕЛЬ

Добавьте адрес электронной почты для пользователя:

атрибут adtool заменить ПОЛЬЗОВАТЕЛЬСКАЯ почта EMAIL @ ADDRESS

Последние мысли

Мы только прикоснулись к этому мощному инструменту. Но из этого вы должны увидеть, насколько простым может быть рекламный инструмент и насколько он полезен.