GNU/Linux >> Linux Esercitazione >  >> Ubuntu

Configura PBIS per unire Ubuntu al dominio Windows

In questo articolo, installeremo e configureremo PowerBroker Identity Services (PBIS) su Ubuntu 14.04 per unirci al dominio Windows Active Directory. Considereremo anche come rimuovere l'account del computer non aggiornato da AD utilizzando il comando dsquery.

Scarica e installa

Per cominciare, dobbiamo scaricare l'ultima versione di PowerBroker Identity Services da GitHub

Inoltre, puoi scaricarlo semplicemente eseguendo il seguente comando sul sistema operativo Ubuntu:

wget https://github.com/BeyondTrust/pbis-open/releases/download/8.5.3/pbis- open-8.5.3.293.linux.x86.deb.sh

Ora devi impostare il bit di esecuzione ed eseguire il pacchetto con i privilegi di root:

chmod +x pbis-open-8.5.3.293.linux.x86_64.deb.sh
sudo ./pbis-open-8.5.3.293.linux.x86_64.deb.sh

Farà un paio di domande durante l'installazione, quindi scegli le opzioni di conseguenza. Una volta completata l'installazione, è il momento di unire la macchina al dominio.

Configurazione PBIS

Siamo pronti per procedere con la configurazione. Vai alla directory /opt/pbis/bin/ ed esegui il comando domainjoin-cli per unire un host a un dominio di Active Directory.

cd /opt/pbis/bin/
sudo domainjoin-cli join [DomainName [DomainAccount]

dove,

DomainName - il nome del tuo dominio
DomainAccount - il tuo account di dominio (utente@nomedominio)

Esempio: sudo domainjoin-cli unisciti all'amministratore di esempio.com

Quando richiesto, fornisci la password dell'amministratore di Active Directory. In caso di autenticazione riuscita, il comando aggiunge il tuo computer Ubuntu come membro del dominio. Il comando aggiunge anche voci nel file /etc/hosts.
Per controllare le impostazioni del dominio Ubuntu devi eseguire il seguente comando dal tuo terminale:

sudo domainjoin-cli query

Il comando visualizzerà il nome del dominio a cui è unito il tuo computer Ubuntu.

Esempio:

Nome =nome utente
Dominio =esempio.com
Nome distinto =CN=nome utente,CN=Computer,DC=esempio,DC=com

Nota:se desideri rimuovere il tuo computer Ubuntu dal dominio, devi eseguire

sudo domainjoin-cli leave

Una volta unito al dominio, la cosa importante da fare è limitare l'accesso al gruppo sudoers solo ai membri del gruppo Domain Admin. Questo può essere ottenuto aggiornando il file /etc/sudoers aggiungendo %domain^admins ALL=(ALL) ALL nella sezione del gruppo in modo che la sezione del file sudoers appaia come segue:

# Members of the admin group may gain root privileges
%admin ALL=(ALL) ALL
%domain^admins ALL=(ALL) ALL

L'aspetto positivo dell'utilizzo di PBIS è che consente diversi modi per personalizzare l'accesso, il prefisso di dominio, la shell di accesso, il nome della cartella, ecc. Per impostare la configurazione predefinita per gli utenti del dominio, è necessario utilizzare PBIS per impostare l'ambiente per tutti utenti di dominio richiesti che verranno registrati nel sistema.
Si prega di aprire il terminale ed eseguire i seguenti comandi:

sudo /opt/pbis/bin/config UserDomainPrefix [Domain]

Imposta il prefisso di dominio

sudo /opt/pbis/bin/config AssumeDefaultDomain True

Impostalo su "true" per evitare di inserire continuamente nomi di dominio

sudo /opt/pbis/bin/config LoginShellTemplate /bin/bash

Imposta shell predefinita

sudo /opt/pbis/bin/config HomeDirTemplate %H/%D/%U

Imposta una directory home diversa da quella degli utenti locali sulla macchina

sudo /opt/pbis/bin/config RequireMembershipOf "[Domain]\\[SecurityGroup]"

Imposta specifici gruppi di sicurezza di Active Directory

Passaggio successivo, è necessario modificare il file di sessione comune pamd.d. Si prega di digitare il terminale:

sudo vi /etc/pam.d/common-session

Vai alla riga che indica sessione sufficiente pam_lsass.so e sostituiscilo con session [success=ok default=ignore] pam_lsass.so

Quindi, dobbiamo modificare il file di configurazione di lightdm e aggiungere le seguenti righe:

sudo vi /usr/share/lightdm/lightdm.conf.d/50-unity-greeter.conf
allow-guest=false
greeter-show-manual-login=true

Tieni presente che se stai utilizzando Lubuntu 14.04 il tuo file di configurazione di lightdm sarà 60-lightdm-gtk-greeter.conf

Prova!

Una volta soddisfatto di tutte le opzioni, riavvia la macchina:

reboot

e accedi:

ssh [username]@[servername]

Come riavviare il servizio PBIS

Gli agenti PBIS sono composti dal daemon del gestore servizi lwsmd, che si trova in /opt/pbis/sbin/lwsmd. Questo demone include il servizio lsass, che gestisce l'autenticazione, l'autorizzazione, la memorizzazione nella cache e le ricerche ldmap. Poiché il servizio di autenticazione registra i trust solo all'avvio, è necessario riavviare lsass con PBIS Service Manager dopo aver modificato una relazione di trust. Per riavviare il servizio è sufficiente eseguire:

/opt/pbis/bin/lwsm restart lsass

Come disinstallare PBIS utilizzando una riga di comando

Per disinstallare PBIS utilizzando un comando, eseguire il comando seguente:

/opt/pbis/bin/uninstall.sh uninstall

Se desideri rimuovere completamente tutti i file relativi a PBIS dal tuo sistema, esegui il processo di eliminazione:

/opt/pbis/bin/uninstall.sh purge

Come trovare e rimuovere computer obsoleti in Active Directory

Alcune organizzazioni hanno il periodo di inattività massimo consentito per gli account di dominio AD. Pertanto, gli account che erano inattivi per tale periodo di tempo dovrebbero essere eliminati. Ma si consiglia vivamente di scoprire prima tutti gli account inattivi prima di eliminarli. Nel nostro articolo, useremo il prompt dei comandi. È possibile trovare account inattivi e disabilitarli o eliminarli utilizzando il prompt dei comandi, utilizzando dsquery comando.
Fondamentalmente, il comando dsquery cerca gli oggetti AD in base ai criteri specificati (ad esempio, account inattivo per un periodo di tempo specifico). Successivamente, i risultati della ricerca possono essere forniti come input ai comandi dsmod e dsrm per disabilitare ed eliminare gli account. Per cominciare, devi aprire il prompt dei comandi sull'host AD. Quindi, per trovare i computer inattivi, esegui:

dsquery computer -inactive

Ora, per disabilitare i computer inattivi, esegui:

dsquery computer -inactive | dsmod computer -disabled yes

Dopo aver disabilitato, puoi eliminarli eseguendo:

dsquery computer -disabled | dsrm -noprompt

Tieni presente che invece di disabilitare i primi computer inattivi, puoi eliminarli direttamente eseguendo:

dsquery computer -inactive | dsrm -noprompt

Conclusione

Questo articolo è una continuazione del precedente articolo sull'integrazione di LDAP con Active Directory. Esistono diversi modi per autenticare i server Linux rispetto a Microsoft Active Directory come Samba/Winbind, Centrify, ecc. e i programmi di installazione sono disponibili sia per il formato di pacchetto debian che rpm che supporta RHEL, Ubuntu, CentOS, Debian, ecc. Tuttavia, le istruzioni fornite hanno solo stato testato su Ubuntu 14.04 LTS Distribution. Con un ritocco minimo, questi passaggi dovrebbero funzionare anche per altre distribuzioni. Le versioni precedenti e ora deprecate di Likewise-Open dovrebbero funzionare in modo simile a PBIS-Open e potrebbero essere richieste su distribuzioni precedenti.


Ubuntu

  1. Come installare e configurare Nginx su Ubuntu 20.04

  2. Configura sudo senza password su Ubuntu 20.04 Focal Fossa Linux

  3. Installa Nginx e configura l'host virtuale in Ubuntu 20.04

  4. Come installare e configurare Varnish su Ubuntu 20.04?

  5. Ubuntu:configurare Sssd (sudo e Dyndns_update) con Realmd?

Come installare e configurare GitLab CE su Ubuntu 18.04 LTS

Come installare e configurare DNS su Ubuntu

Come installare e configurare Kubernetes su Ubuntu

Installa e configura Log con Graylog in Ubuntu 20.04

Come impostare e configurare UFW Firewall su Ubuntu 20.04

Come installare e configurare Memcached su Ubuntu