Administration avancée de l'Active Directory du module AmonEcole

Interroger Winbind

Les commandes Winbind[1] permettent d'interroger l'annuaire Active Directory que le serveur soit contrôleur de domaine ou simplement membre d'un domaine existant.

  • Lister les utilisateurs du domaine

    # wbinfo -u

  • Lister les groupes

    # wbinfo -g

  • Voir les informations d'un utilisateur

    # wbinfo -i admin

  • Obtenir le SID d'un utilisateur

    # wbinfo --name-to-sid=admin

  • Vérifier la validé de la clé partagée

    # wbinfo -t

Et plein d'autres fonctionnalités...

# wbinfo --help

et

# man wbinfo

Personnaliser les restrictions sur les mots de passe

La commande samba-tool domain passwordsettings show permet de connaître les règles de complexité mises en place sur les mots de passe.

1
root@dc1:~# samba-tool domain passwordsettings show
2
Password informations for domain 'DC=ac-test,DC=fr'
3
4
Password complexity: on
5
Store plaintext passwords: off
6
Password history length: 24
7
Minimum password length: 7
8
Minimum password age (days): 1
9
Maximum password age (days): 42
10
Account lockout duration (mins): 30
11
Account lockout threshold (attempts): 0
12
Reset account lockout after (mins): 30

Toutes les règles de complexité peuvent être adaptées à l'aide de cette même commande.

Taille/longueur de l'historique des mots de passe

Nombre de mots de passe sont enregistrés pour que l'utilisateur ne puisse pas les ré-utiliser. Devrait-être combiné avec "min-pwd-age > 0" sinon un utilisateur peut changer de mot de passe autant de fois que nécessaire pour enlever son mot de passe de l'historique et le ré-utiliser.

# samba-tool domain passwordsettings set --history-length=0

Longueur minimum du mot de passe

Nombre de caractères minimum que doit faire un mot de passe.

# samba-tool domain passwordsettings set --min-pwd-length 5

Âge minimal du mot de passe en jours

Nombre de jours que doit attendre un utilisateur (même membre du groupe DomainAdmins), pour pouvoir changer à nouveau son mot de passe.

# samba-tool domain passwordsettings set --min-pwd-age 0

Âge maximal du mot de passe en jours

Nombre de jours après lequel le système demandera à un utilisateur de changer son mot de passe (0=désactivé).

# samba-tool domain passwordsettings set --max-pwd-age 365

Durée du verrouillage des comptes bloqués

Durée en minutes pendant laquelle un compte ayant effectué trop de tentatives d'ouverture de sessions infructueuses est bloqué.

# samba-tool domain passwordsettings set --account-lockout-duration 10

Nombre de tentative avant blocage d'un compte

Nombre de mauvais mots de passe qu'un utilisateur peut entrer avant que son compte soit bloqué.

# samba-tool domain passwordsettings set --account-lockout-threshold 3

Délai de réinitialisation du système de blocage de compte

Délai en minutes après lequel le comptage de tentatives d'ouverture de sessions infructueuses est réinitialisé, ce délai commence après la dernière tentative infructueuse.

# samba-tool domain passwordsettings set --reset-account-lockout-after 10

Attention

La commande suivante permet de désactiver intégralement les règles appliquées sur les mots de passe ce qui est évidemment non recommandé sur un serveur en production :

# samba-tool domain passwordsettings set --complexity=off

Gérer des rôles Active Directory

Les rôles Active Directory ou types de Maître d'opérations[2] (ex : FSMO[2]) sont des rôles nécessitant un maître unique pour la réplication entre contrôleurs de domaine.

La commande samba-tool fsmo show permet de connaître la façon dont sont répartis les rôles entre les différents contrôleurs de domaine.

1
root@dc1:~# samba-tool fsmo show
2
SchemaMasterRole owner: CN=NTDS Settings,CN=DC1,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=ac-test,DC=fr
3
InfrastructureMasterRole owner: CN=NTDS Settings,CN=DC1,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=ac-test,DC=fr
4
RidAllocationMasterRole owner: CN=NTDS Settings,CN=DC1,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=ac-test,DC=fr
5
PdcEmulationMasterRole owner: CN=NTDS Settings,CN=DC1,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=ac-test,DC=fr
6
DomainNamingMasterRole owner: CN=NTDS Settings,CN=DC1,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=ac-test,DC=fr
7
DomainDnsZonesMasterRole owner: CN=NTDS Settings,CN=DC1,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=ac-test,DC=fr
8
ForestDnsZonesMasterRole owner: CN=NTDS Settings,CN=DC1,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=ac-test,DC=fr

La commande samba-tool fsmo est ses options permet de gérer les rôles Active Directory.

Vérification de l'état du serveur

Vérifier/réinitialiser les droits appliqués sur le répertoire SYSVOL

Certains dysfonctionnements sont causés par des problèmes de droits d'accès au répertoire SYSVOL.

Les commandes suivantes permettent pour l'une de vérifier et pour l'autre de réinitialiser les droits particuliers sur ce répertoire.

  • # samba-tool ntacl sysvolcheck
  • # samba-tool ntacl sysvolreset

Surveiller l'état de la réplication

Dans le cas de la mise en place d'une architecture multi-DC[3], la commande suivante permet de vérifier l'état de la réplication Active Directory :

# samba-tool drs showrepl

La commande samba-tool drs et ses options permet de gérer le service de réplication Active Directory.