adtoolを使用してLinuxからActive Directoryを管理する

Active Directoryは、非常に多くのユーザーが使用せざるを得ないMicrosoftツールの1つです。セットアップと管理がはるかに簡単なので、私はLDAPをずっと好みます。しかし、エンタープライズの世界では、Active Directoryがツールとして使用されています。これは、WindowsマシンからActive Directoryを管理することに縛られていることを意味しますか?いいえ、できません。コマンドラインの作成者であれば、LinuxコマンドラインからADを管理できます。それはそれほど難しくなく、最終的にはADサーバーを管理し続けるための多くのオプションを提供します。

もちろん、それはLinuxの側で作業することだけの問題ではありません。 MS側で解決すべき問題が1つあります。 ADサーバーでセキュアLDAPをアクティブにする必要があります。このプロセスはこの記事の範囲を超えていますが、手順はかなり明確です。

SLDAPを有効にする

Windows 2003 ADサーバーでセキュアLDAPを有効にする手順は次のとおりです(詳細は省略します)。

  1. Active Directoryドメインコントローラの証明書要求を作成します。
  2. 証明機関を作成します。
  3. 証明機関による証明書要求に署名します。
  4. ルート証明書認証局をエクスポートします。
  5. ルート証明書の証明機関をドメインコントローラーにインポートします。
  6. LDAPサーバー証明書をドメインコントローラにインポートします。
  7. UMRA(LDAPクライアント)コンピューターをセットアップします。
  8. SSLを使用してセキュアLDAPSを確認します。

adtoolのインストール

さいわい、adtoolはディストリビューションのリポジトリにあります。だからあなたがしなければならないすべてはこれらのステップに従ってください:

  1. Synaptic(または使用するソフトウェアの追加/削除ユーティリティ)を起動します。
  2. 「adtool」(引用符なし)を検索します。
  3. 結果をインストール用にマークします。
  4. [適用]をクリックしてインストールします。
  5. シナプスを閉じます。

adtoolの構成

これは、ADサーバーでadtoolを使用する前に処理する必要がある少しの構成です。最初にファイルを作成します(存在しない場合)。 /etc/adtool.cfg 次の内容を追加します。

uri ldaps://YOUR.DOMAIN.HERE
binddn cn = Administrator、cn = Users、dc = domain、dc = tld
bindpw $ PASSWORD
searchbase dc = domain、dc = tld

YOUR.DOMAIN.HEREは、Active Directoryサーバーへの実際のアドレスです。

PASSWORDは、ADサーバーを管理するための適切な権限を持つADユーザーのパスワードです。

また、以下があなたの中にあることを確認する必要があります /etc/ldap/ldap.conf ファイル:

BASE dc = YOUR、dc = DOMAIN、dc = HERE
URI ldaps://YOUR.DOMAIN.HERE
TLS_REQCERT許可

上記の設定がないと、サーバーからのSSL証明書を受け入れることができません。

基本的な使い方

adtoolコマンドの基本的な使い方は簡単です。もちろん、このツールの使い方を本当に理解するには、Active Directoryを理解する必要があります。以下に、ADの基本的なタスクを処理するコマンドのサンプルを示します。すべての大文字の情報は、ニーズに合わせて変更されます。

新しい組織単位を作成します。

adtool oucreate ORGANIZATION NAME ou = user、dc = DOMAIN、dc = COM

ユーザーを追加します。

adtool useradd USER ou = ORGANIZATION ou = user、cd = DOMAIN、dc = COM

ユーザーパスワードを設定します。

adtool setpass USER PASSWORD

ユーザーのロックを解除します。

adtoolロック解除ユーザー

グループを作成する

adtool groupcreate GROUP ou = user、cd = DOMAIN、dc = COM

ユーザーをグループに追加します。

adtool groupadd allusers USER

ユーザーのメールアドレスを追加します。

adtool attributereplace USER mail EMAIL @ ADDRESS

最終的な考え

この強力なツールの表面をほんのひっかいただけです。しかし、これから、adtoolがいかに簡単であるか、またどれほど役立つかを理解できるはずです。