Linux thay the windows

Password policy Xem chính sách password hiện tại # samba-tool domain passwordsettings show Password informations for domain 'DC=nhatnghe1,DC=com' Password complexity: on Store plaintext

Nâng cấp domain controller

Kiểm tra gói krb5

[root@dc1 ~]# rpm -qa | grep krb5

Kiểm tra gói samba, nếu có tiến hành gỡ bỏ

Khởi động lại máy tính

2 Provision Samba 4

# /usr/local/samba/bin/samba-tool domain provision

# /usr/local/samba/bin/samba-tool domain provision

Realm [NHATNGHE1.COM]: enter

Domain [NHATNGHE1]: enter

Server Role (dc, member, standalone) [dc]: enter

DNS backend (SAMBA_INTERNAL, BIND9_FLATFILE, BIND9_DLZ, NONE) [SAMBA_INTERNAL]: enter

DNS forwarder IP address (write 'none' to disable forwarding) [192.168.1.11]: 8.8.8.8

Administrator password: P@ssword

Retype password: P@ssword

Looking up IPv4 addresses

Looking up IPv6 addresses

No IPv6 address will be assigned

Setting up share.ldb

Setting up secrets.ldb

Setting up the registry

Setting up the privileges database

Setting up idmap db

Setting up SAM db

Setting up sam.ldb partitions and settings

Setting up sam.ldb rootDSE

Pre-loading the Samba 4 and AD schema

Adding DomainDN: DC=nhatnghe1,DC=com

Adding configuration container

Setting up sam.ldb schema

Setting up sam.ldb configuration data

Setting up display specifiers

Modifying display specifiers

Adding users container

Modifying users container

Adding computers container

Modifying computers container

Setting up sam.ldb data

Setting up well known security principals

Setting up sam.ldb users and groups

Setting up self join

Adding DNS accounts

Creating CN=MicrosoftDNS,CN=System,DC=nhatnghe1,DC=com

Creating DomainDnsZones and ForestDnsZones partitions

Populating DomainDnsZones and ForestDnsZones partitions

Setting up sam.ldb rootDSE marking as synchronized

Fixing provision GUIDs

A Kerberos configuration suitable for Samba 4 has been generated at /usr/local/samba/private/krb5.conf

Once the above files are installed, your Samba4 server will be ready to use

Server Role: active directory domain controller

4 Kiểm tra Active Directory DC

Testing version of Samba

Xem các tài nguyên share trên máy Samba4 server

# /usr/local/samba/bin/smbclient -L localhost -U%

Domain=[NHATNGHE1] OS=[Windows 6.1] Server=[Samba 4.2.2]

Sharename Type Comment

- -

netlogon Disk

sysvol Disk

IPC$ IPC IPC Service (Samba 4.2.2)

Domain=[NHATNGHE1] OS=[Windows 6.1] Server=[Samba 4.2.2]

Password for administrator@NHATNGHE1.COM: P@ssword

Warning: Your password will expire in 41 days on Wed Jul 22 14:51:03 2015

# klist

Ticket cache: FILE:/tmp/krb5cc_0

Default principal: administrator@NHATNGHE1.COM

Valid starting Expires Service principal

8 Configure Windows Client to Join Domain

Lan card: DNS chỉ về máy samba

Ping kiểm tra hoạt động DNS

Chỉnh thời gian trên win 7 đúng với máy samba

Tiến hành join domain:

1 Right-click 'My Computer' icon and choose 'Properties'

2 From the left-side pane click 'Advanced system settings'

3 Choose the 'Computer Name' tab and click 'Change '

4 Select option 'Domain', and insert nhatnghe1.com

Reboot

Login vào domain vối user administrator

9 Install Windows Remote Administration Tools

Cài đặt RSAT-WIN7-x64.msu

Enable các thành phần cần thiết Control Panel -> Programs features -> Turn Windows features on or off -> Remote Server Administration Tools'

Mở ADUC:dsa.msc

10 Password policy

Xem chính sách password hiện tại

# samba-tool domain passwordsettings show

Password informations for domain 'DC=nhatnghe1,DC=com'

Password complexity: on

Store plaintext passwords: off

Password history length: 24

Minimum password length: 7

Minimum password age (days): 1

Maximum password age (days): 42

Account lockout duration (mins): 30

Account lockout threshold (attempts): 0

Reset account lockout after (mins): 30

Xem các tham số password :

# samba-tool domain passwordsettings set –help

complexity=COMPLEXITY

The password complexity (on | off | default) Default is 'on'

store-plaintext=STORE_PLAINTEXT

Store plaintext passwords where account have 'store

passwords with reversible encryption' set (on | off | default) Default is 'off'

The maximum password age (<integer in days> | default) Default is 43

account-lockout-duration=ACCOUNT_LOCKOUT_DURATION

The the length of time an account is locked out after

exeeding the limit on bad password attempts (<integer

in mins> | default) Default is 30 mins

account-lockout-threshold=ACCOUNT_LOCKOUT_THRESHOLD

The number of bad password attempts allowed before

locking out the account (<integer> | default)

Default is 0 (never lock out)

reset-account-lockout-after=RESET_ACCOUNT_LOCKOUT_AFTER

After this time is elapsed, the recorded number of

attempts restarts from zero (<integer> | default)

Default is 30

Ví dụ:

#samba-tool domain passwordsettings set complexity off

#samba-tool domain passwordsettings set history-length 3

#samba-tool domain passwordsettings set min-pwd-length 3

#samba-tool domain passwordsettings set min-pwd-age 0

#samba-tool domain passwordsettings set max-pwd-age 999

#samba-tool domain passwordsettings show

Password complexity: off

Store plaintext passwords: off

Password history length: 3

Minimum password length: 3

Minimum password age (days): 0

Maximum password age (days): 999

Account lockout duration (mins): 30

Account lockout threshold (attempts): 0

Reset account lockout after (mins): 30

Quản lý Password của administrator

+ Xem kiểu mã hóa của session key và ticket

# klist -e

Ticket cache: FILE:/tmp/krb5cc_0

Default principal: administrator@NHATNGHE1.COM

Valid starting Expires Service principal

Password changed.111

+ Reset Administrator Password

# samba-tool user setpassword Administrator

New Password: 222

Changed password OK

Setup a Samba AD Member Server

Đồng bộ giờ giữa DC và member

Kiểm tra các gói samba (có thể cài gói samba 3.6)

# rpm -qa | grep samba

realm = NHATNGHE1.COM #dedicated keytab file = /etc/krb5.keytab #kerberos method = secrets and keytab idmap config *:backend = tdb

idmap config *:range = 2000-9999

winbind nss info = rfc2307 winbind trusted domains only = no winbind use default domain = yes winbind enum users = yes

winbind enum groups = yes winbind refresh tickets = Yes [ketoan]

path = /data/ketoan read only = no valid users = +NHATNGHE1\g.ketoan

Thêm member1 vào DNS

[root@dc1 samba4.2.2]# sambatool dns add dc1 nhatnghe1.com member1 A 192.168.1.15

-Uadministrator

Password for [NHATNGHE1\administrator]:

Record added successfully

[root@dc1 samba-4.2.2]# host -t A member1.nhatnghe1.com

member1.nhatnghe1.com has address 192.168.1.15

Kiểm tra user, group

NHATNGHE1\ras and ias servers

1 Tạo share folder

Thêm vào cuối file

# smbcontrol all reload-config

2 Share thư mục /data/ketoan

Chỉ user phòng kế toán được truy cập, user nào tạo thì chỉ user đó mới có quyền xóa

Tại win 2k8 Login với user administrator

Gán quyền cho group g.ketoan: write, read,

list, execute

Chọn ok, ok

3 Share thư mục /data/kinhdoanh

Chỉ user phòng kinh doanh được truy cập, mọi user có quyền xóa

Click kinhdoanh, chọn properties, security,

4 Share thư mục /data/dungchung

Chỉ user phòng kinh doanh được truy cập, mọi

user có quyền xóa

Click dungchung, chọn properties, security,

Gpupdate /force

Máy client login với user kt1 sẽ thấy các ổ đĩa ánh xạ

Quản trị user group

I Quản trị user

1 Tạo – sử dụng User Template

B1 Mở Active Directory User And Computer  Tạo user NS1 với password 123

- Tạo group g.nhansu

- Ấn dịnh thuộc tính Departerment cho ns1

- Add user NS1 vào Group NhanSu

B2 : Chuột phải user NS1  Chọn Properties

- Trong tab Account  phần Account options

 Chọn Account is disabled  OK

B5 : Gõ 123 trong 2 phần Password và confirm

password  Bỏ dấu chọn Account is Disable

 Chọn Next

B6 : Chọn finish

B7 : Thực hiện tương tự B3 - >B7 để copy NS1 thành account NS3/password 123

B8 : Kiểm tra :

- Thuộc tính của cả 2 user NS2 và NS3 giống NS1 :

* Cả 2 user NS2 và NS3 đều được đưa vào group NhanSu

* Cả 2 user NS2 và NS3 đều có thuộc tính giống ns1

2 Làm việc với Multi User

B1 : Giữ phím CTRL  lần lượt click chuột

chọn NS1 , NS2 , NS3  Chuột phải  Chọn

Properties

B2 : Qua tab Account  Đánh dấu chọn trước dòng

Logon hours  Chọn Logon hours  Logon hours

B3 :

Tô xanh vùng từ 8 – 5 / Sunday 

Friday  Chọn OK  OK

B4 : Kiểm tra : lần lượt mở

Properties của cả 3 user : NS1 , NS2

, NS3  Qua tab Account  Chọn

Logon Hours…

B5 : Quan sát thấy cả 3 user account

Ns1 , NS2 , NS3 đểu được chỉnh thời

gian được phép đăng nhập vào máy

tính

3 Xem toàn bộ thuộc tính của User

B1 : Tại chương trình Active Directory User and

Computer  Chọn Menu View  Chọn Advanced

Features

B2 : Chuột phải lên user NS1  Chọn

Properties

B2 : Chọn Tab Attribute Editor  Kiếm mục homeDirectory và ProfilePath  Quan sát thấy giá trị trong 2 dòng này giống trong tab Profile

Nhận xét : Mọi thuộc tính của user account đểu có thể được xem và chỉnh sửa tại Attribute Editor

Thực hành: lần lượt thử với các thuộc tính restriction

user cannot change password

disable

logon hours

Logon to

Thực hiện:

1 Tạo Global group

B1 : Mở Active Directory User and Computer

 Chuột phải lên OU Nhatnghe  Chọn New

2 Ủy quyền cho 1 user có quyền quản lý group : Quản lý member của group

B1 : Chuột phải lên group NhanSu  Chọn

Properties  Qua tab Managed By  Chọn

Change

B2 : Điền user U1 vào  Chọn Check name 

OK

B3 : Tại màn hình NhanSu Properties  Đánh

dấu chọn vào trước dòng Manager can update

membership list  OK

B4 : Kiểm tra :

- Log on vào bằng quyền U1

- Start  Administrative Tool  Active Directory Users and Computers

- Mở OU Nhatnghe  Chuột phải lên thư mục NhanSu  Chọn Properties

- Qua tab Members  Chọn Add  Đưa user U1, U2 và U3 vào group  Thành công

Sử dụng lệnh

# samba-tool help

# samba-tool user help

# samba-tool user add help

# samba-tool user add kt4

# samba-tool user add kt5 123456

# samba-tool user add kt6 123456 userou="ouketoan"

# wbinfo name-to-sid kt4

S-1-5-21-877452749-2293823376-3168394136-1110 SID_USER (1)

# samba-tool group add nhansu

# wbinfo name-to-sid nhansu

S-1-5-21-877452749-2293823376-3168394136-1111 SID_DOM_GROUP (2)

HOME FOLDER - USER PROFILE

I HOME FOLDER

1 Tạo home folder

Thêm đọan sau vào cuối file smb.conf

Reload lại samba

# smbcontrol all reload-config

2 Cấu hình share và filesystem permissions

 Log on to a Windows machine using an account, or a member of a group, the

SeDiskOperatorPrivilege“ was granted to

 Open the Start Menu and search for Computer Management

 In the menu bar, go to Action / Connect to another computer

 Enter the ip of your Samba server you have created the new share on

 Navigate to System Tools /Shared Folders / Shares and select the newly added share

 Right-click to the share name C:\home\samba\home\ chọn Properties

 Authenticated Users: Full Control

 Domain Admins: Full Control

 System: Full Control

Chọn Security, Advance, change permissions

Bỏ chọn mục Include inheritable permissions from the object's parent

Creator Owner: Full Control

Domain Admins: Full Control

System: Full Control

Chọn ok

Để cấm “Authenticated Users” truy cập home folder của user khác

Chọn Advanced, Change permissions, Select Authenticated Users, click Edit thay đổi Apply to:

This folder only

Chọn ok, ok

3 Define the users home folder in the account settings

Mở Active Directory Users and Computer (ADUC)

Chọn các user cần tạo home folder, properties

Chọn các tham số như hình, OK

Tại máy client login với user ns1, thấy disk H: chỉ đến thư mục

total 24 drwxrwx -+ 2 3000000 users 4096 Jun 11 18:05 ns1 drwxrwx -+ 2 3000000 users 4096 Jun 11 18:05 ns2 drwxrwx -+ 2 3000000 users 4096 Jun 11 18:05 ns3

II Tạo Roaming Profile cho user

# smbcontrol all reload-config

Tại máy win7, login với user administrator

Truy cập máy samba

 Right-click Profiles, chọn Properties, Security

 Click Advanced chọn Change permissions, tiến hành edit the share permissions

Administrator Full control This folder, subfolders and files Domain Users Traverse folder/execute file, List folder/read

data, Create folder/append data This folder only CREATOR

3 Define the Roaming user Profile in the account settings

Mở Active Directory Users and Computer (ADUC)

Chọn các user cần tạo Profile, properties

Nhập các tham số:

Tại máy client, login với user ns1 Thiết lập các tham số cho My Document, Desktop Logout

drwxrwx -+ 2 3000020 users 4096 Apr 16 2010 Cookies

drwxrwx -+ 2 3000020 users 4096 Apr 16 2010 Desktop

drwxrwx -+ 3 3000020 users 4096 Jun 11 16:01 Favorites

drwxrwx -+ 4 3000020 users 4096 Jun 11 16:01 My Documents

drwxrwx -+ 2 3000020 users 4096 Apr 16 2010 NetHood

-rwxrwx -+ 1 3000020 users 786432 Jun 11 18:37 NTUSER.DAT

-rwxrwx -+ 1 3000020 users 1024 Jun 11 18:37 NTUSER.DAT.LOG

-rwxrwx -+ 1 3000020 users 268 Jun 11 18:37 ntuser.ini

drwxrwx -+ 2 3000020 users 4096 Apr 16 2010 PrintHood

drwxrwx -+ 2 3000020 users 4096 Jun 11 16:01 Recent

drwxrwx -+ 2 3000020 users 4096 Jun 11 16:01 SendTo

drwxrwx -+ 3 3000020 users 4096 Apr 16 2010 Start Menu

drwxrwx -+ 2 3000020 users 4096 Apr 16 2010 Templates

[root@dc1 ~]#

Có thể tạo Profile share sử dụng POSIX ACLs

Create a folder for the roaming profiles and set permissions

# mkdir -p /srv/samba/Profiles/

# chmod 1770 /srv/samba/profiles

# chgrp „Domain Users“ /srv/samba/profiles

Add a new share to your smb.conf:

# smbcontrol all reload-config

Xem SID của 1 user

ORGANIZATIONAL UNIT (OU) – DELEGATE CONTROL

Bài lab gồm những nội dung chính sau:

1 Tạo OU

2 Xóa OU

3 Ủy quyền cho user trên OU

4 Tước quyền user trên OU

* Máy PC01:

1 Tạo OU:

B1: Vào Start Administrative Tools chọn

Active Directory Users and Computers Chuột

phải vào nhatnghe.local chọn New

B3: Qua tab Objectstắt dấu

check Protect object from

accidental deletion, sau đó chọn

OK

B4: Chuột phải vào OU CONGTY,

chọn Delete

- Hộp thoại cảnh báo, chọn Yes

- OU CONGTY đã được xóa thành

công

3 Ủy quyền cho user trên OU

Ủy quyền cho user được join các client vào domain

Mặc định 1 user có thể join tối đa 10 client

Tiến hành ủy quyền cho nhóm supporters(u1,u2) không giới hạn trong việc join domain

 B1: Right-click to CN=Computers and

click 'Delegate control' to open the

delegation wizzard

 Click 'Next'

 Click 'Finish'

 Click 'Add' and add the group

'supporters' Click 'Next'

 Choose 'Create a custom task to

delegate' on the 'Tasks to delegate'

window

 In the 'Active Directory Object Type'

window, select 'Only the following

objects in the folder'

check 'Computer objects'

'Create selected objects in this folder' and

'Delete selected objects in this folder'

Click 'Next'

 In the 'Permissions' window, check

'General' and 'Property-specific'

 Also select the following permissions

from the list:

Reset password

Read and write account restrictions

Read and write DNS host name

attributes

Validated write to DNS host name

Validated write to service principal

- Log On bằng account U1 : Tạo User mới trong OU SAIGON  Thành công

- Xóa User vừa tạo  thành công

B9 : Chuột phải vào Container Users, thử tạo 1

user mới  không xuất hiện menu tạo user do

không có quyền

4 Ủy quyền cho user trên OU

B1: Tạo OU SAIGON, trong OU SAIGON tạo

user U1

B2: Chuột phải vào OU SAIGON, chọn

Delegate Control…

B3: Màn hình Welcome Next Trong màn

hình Selected users and groups, chọn Add

B4: Nhập vào user u1  Check Names  OK

 Next

B5: Trong màn hình Tasks to Delegate, đánh

dấu check vào Create,delete and manage user

accounts  Next

B5: Màn hình Completing, chọn Finish

B6: Kiểm tra:

* Máy PC02

- Log On bằng account U1 : Tạo User mới trong OU SAIGON  Thành công

- Xóa User vừa tạo  thành công

B9 : Chuột phải vào Container Users, thử tạo 1

user mới  không xuất hiện menu tạo user do

không có quyền

 Kết luận: User u1 chỉ được tạo, xóa, quản lý user trên OU SAIGON

4 Tước quyền user trên OU

* Máy PC01

B1: Log on Administrator Mở Active

Directory Users and Computers, chuột phải

vào OU SAIGON, chọn Properties