Gérez votre Active Directory depuis Linux avec adtool
- Catégorie: Réseau
Active Directory est l'un de ces outils Microsoft que beaucoup n'ont d'autre choix que d'utiliser. Bien que je préfère de loin LDAP, car il est tellement plus facile à configurer et à gérer. Mais pour une grande partie du monde de l'entreprise, Active Directory est l'outil utilisé. Cela signifie-t-il que vous êtes obligé de gérer Active Directory à partir d'une machine Windows? Non. Si vous êtes une créature de la ligne de commande, vous pouvez gérer votre AD à partir de la ligne de commande Linux. Ce n'est pas si difficile et, à la fin, vous donnera beaucoup plus d'options pour garder votre serveur AD géré.
Bien sûr, il ne s'agit pas seulement de travailler sur le côté Linux des choses. Il y a un problème à régler du côté MS. Vous devez activer Secure LDAP sur votre serveur AD. Ce processus dépasse le cadre de cet article, mais les étapes sont assez claires.
Activer SLDAP
Voici les étapes pour activer Secure LDAP sur votre serveur Windows 2003 AD (je vais omettre les détails):
- Créez une demande de certificat de contrôleur de domaine Active Directory.
- Créez une autorité de certification.
- Signez la demande de certificat par l'autorité de certification.
- Exportez l'autorité de certification du certificat racine.
- Importez l'autorité de certification du certificat racine sur le contrôleur de domaine.
- Importez le certificat du serveur LDAP sur le contrôleur de domaine.
- Configurez l'ordinateur UMRA (client LDAP).
- Vérifiez le LDAPS sécurisé à l'aide de SSL.
Installer adtool
Heureusement, adtool se trouve dans les référentiels de vos distributions. Il ne vous reste plus qu'à suivre ces étapes:
- Lancez Synaptic (ou tout autre utilitaire d'ajout / suppression de logiciel que vous utilisez).
- Faites une recherche sur 'adtool' (sans guillemets).
- Marquez les résultats pour l'installation.
- Cliquez sur Apply pour installer.
- Fermez Synaptic.
Configurer adtool
C'est un peu de configuration que vous devez gérer avant de pouvoir utiliser adtool sur votre serveur AD. Créez d'abord le fichier (s'il n'existe pas) /etc/adtool.cfg et ajoutez le contenu suivant:
uri ldaps: //VOTRE.DOMAINE.ICI
binddn cn = Administrateur, cn = Utilisateurs, dc = domaine, dc = tld
bindpw $ PASSWORD
base de recherche dc = domaine, dc = tld
Où YOUR.DOMAIN.HERE est l'adresse réelle de votre serveur Active Directory.
Où PASSWORD est le mot de passe de l'utilisateur AD qui dispose des autorisations appropriées pour gérer le serveur AD.
Vous devrez également vous assurer que les éléments suivants figurent dans votre /etc/ldap/ldap.conf fichier:
BASE dc = VOTRE, dc = DOMAINE, dc = ICI
Ldaps URI: //VOTRE.DOMAINE.ICI
Autoriser TLS_REQCERT
Sans la configuration ci-dessus, vous ne pourrez pas accepter les certificats SSL du serveur.
Utilisation de base
L'utilisation de base de la commande adtool est simple. Bien sûr, vous devrez comprendre Active Directory pour vraiment comprendre l'utilisation de cet outil. Ci-dessous, je vais vous donner des exemples de commandes pour gérer les tâches de base pour AD. Toute information en MAJUSCULES serait modifiée pour répondre à vos besoins.
Créez une nouvelle unité organisationnelle:
adtool oucreate ORGANIZATION NAME ou = user, dc = DOMAIN, dc = COM
Ajouter un utilisateur:
adtool useradd USER ou = ORGANISATION ou = user, cd = DOMAIN, dc = COM
Définissez un mot de passe utilisateur:
adtool setpass MOT DE PASSE UTILISATEUR
Déverrouiller un utilisateur:
adtool unlock USER
Créer un groupe
adtool groupcreate GROUP ou = utilisateur, cd = DOMAIN, dc = COM
Ajouter un utilisateur à un groupe:
adtool groupadd allusers USER
Ajoutez une adresse e-mail pour l'utilisateur:
adtool attributereplace USER mail EMAIL @ ADDRESS
Dernières pensées
Nous n'avons vraiment fait qu'effleurer la surface de cet outil puissant. Mais à partir de là, vous devriez être en mesure de voir à quel point adtool peut être simple et à quel point il est utile.