Konfigurieren Sie PBIS, um Ubuntu der Windows-Domäne beizutreten

In diesem Artikel werden wir PowerBroker Identity Services (PBIS) auf Ubuntu 14.04 installieren und konfigurieren, um es mit der Windows Active Directory-Domäne zu verbinden. Wir werden auch überlegen, wie Sie veraltete Computerkonten mit dem Befehl dsquery aus AD entfernen können.

Herunterladen und installieren

Zunächst müssen wir die neueste Version von PowerBroker Identity Services von GitHub herunterladen

Sie können es auch herunterladen, indem Sie einfach den folgenden Befehl unter Ubuntu OS ausführen:

wget https://github.com/BeyondTrust/pbis-open/releases/download/8.5.3/pbis- open-8.5.3.293.linux.x86.deb.sh

Jetzt müssen Sie das Ausführungsbit setzen und das Paket mit Root-Rechten ausführen:

chmod +x pbis-open-8.5.3.293.linux.x86_64.deb.sh

sudo ./pbis-open-8.5.3.293.linux.x86_64.deb.sh

Während der Installation werden einige Fragen gestellt, also wählen Sie die Optionen entsprechend aus. Sobald die Installation abgeschlossen ist, ist es an der Zeit, den Computer der Domäne beizutreten.

PBIS-Konfiguration

Wir sind bereit, mit der Konfiguration fortzufahren. Navigieren Sie zum Verzeichnis /opt/pbis/bin/ und führen Sie den Befehl domainjoin-cli aus, um einen Host mit einer Active Directory-Domäne zu verbinden.

cd /opt/pbis/bin/
sudo domainjoin-cli join [DomainName [DomainAccount]

wo,

DomainName – der Name Ihrer Domain
DomainAccount – Ihr Domainkonto (Benutzer@Domainname)

Beispiel: sudo domainjoin-cli treten Sie dem Administrator von example.com bei

Wenn Sie dazu aufgefordert werden, geben Sie bitte das Kennwort des Active Directory-Administrators ein. Bei erfolgreicher Authentifizierung fügt der Befehl Ihren Ubuntu-Computer als Mitglied der Domäne hinzu. Der Befehl fügt auch Einträge in der Datei /etc/hosts hinzu.
Um die Ubuntu-Domäneneinstellungen zu überprüfen, müssen Sie den folgenden Befehl von Ihrem Terminal aus ausführen:

sudo domainjoin-cli query

Der Befehl zeigt den Namen der Domäne an, der Ihr Ubuntu-Computer beigetreten ist.

Beispiel:

Name =Benutzername
Domäne =example.com
Distinguished Name =CN=Benutzername,CN=Computer,DC=Beispiel,DC=com

Hinweis:Wenn Sie Ihren Ubuntu-Computer aus der Domäne entfernen möchten, müssen Sie

ausführen

sudo domainjoin-cli leave

Sobald Sie der Domäne beigetreten sind, ist es wichtig, den Zugriff auf die sudoers-Gruppe nur auf Mitglieder der Domänen-Admin-Gruppe zu beschränken. Dies kann erreicht werden, indem die Datei /etc/sudoers aktualisiert wird, indem %domain^admins ALL=(ALL) ALL im Gruppenabschnitt hinzugefügt wird, sodass der Abschnitt der sudoers-Datei wie folgt aussieht:

# Members of the admin group may gain root privileges
%admin ALL=(ALL) ALL
%domain^admins ALL=(ALL) ALL

Das Gute an der Verwendung von PBIS ist, dass es mehrere Möglichkeiten zum Anpassen der Anmeldung, des Domänenpräfixes, der Anmelde-Shell, des Ordnernamens usw. bietet. Um die Standardkonfiguration für Domänenbenutzer einzurichten, müssen Sie PBIS verwenden, um die Umgebung für alle festzulegen erforderliche Domänenbenutzer, die beim System angemeldet werden.
Bitte öffnen Sie das Terminal und führen Sie folgende Befehle aus:

sudo /opt/pbis/bin/config UserDomainPrefix [Domain]

Domänenpräfix festlegen

sudo /opt/pbis/bin/config AssumeDefaultDomain True

Setzen Sie dies auf „true“, um die ständige Eingabe von Domainnamen zu vermeiden

sudo /opt/pbis/bin/config LoginShellTemplate /bin/bash

Standard-Shell festlegen

sudo /opt/pbis/bin/config HomeDirTemplate %H/%D/%U

Legen Sie ein anderes Home-Verzeichnis als die lokalen Benutzer auf dem Computer fest

sudo /opt/pbis/bin/config RequireMembershipOf "[Domain]\\[SecurityGroup]"

Bestimmte Active Directory-Sicherheitsgruppen festlegen

Im nächsten Schritt müssen Sie die Datei pamd.d common-session bearbeiten. Bitte Terminal eingeben:

sudo vi /etc/pam.d/common-session

Navigieren Sie zu der Zeile, die Sitzung ausreichend pam_lsass.so angibt und ersetzen Sie es durch session [success=ok default=ignore] pam_lsass.so

Dann müssen wir die lightdm-Konfigurationsdatei bearbeiten und die folgenden Zeilen anhängen:

sudo vi /usr/share/lightdm/lightdm.conf.d/50-unity-greeter.conf

allow-guest=false
greeter-show-manual-login=true

Bitte beachten Sie, dass Ihre lightdm-Konfigurationsdatei 60-lightdm-gtk-greeter.conf ist, wenn Sie Lubuntu 14.04 verwenden

Testen Sie es!

Wenn Sie mit allen Optionen zufrieden sind, starten Sie einfach den Computer neu:

reboot

und anmelden:

ssh [username]@[servername]

So starten Sie den PBIS-Dienst neu

Die PBIS-Agenten bestehen aus dem Dienstmanager lwsmd-Daemon, der sich in /opt/pbis/sbin/lwsmd befindet. Dieser Daemon enthält den lsass-Dienst, der Authentifizierung, Autorisierung, Caching und LDAP-Lookups verarbeitet. Da der Authentifizierungsdienst Vertrauensstellungen nur beim Start registriert, sollten Sie lsass mit dem PBIS Service Manager neu starten, nachdem Sie eine Vertrauensstellung geändert haben. Um den Dienst neu zu starten, führen Sie einfach Folgendes aus:

/opt/pbis/bin/lwsm restart lsass

So deinstallieren Sie PBIS über eine Befehlszeile

Führen Sie den folgenden Befehl aus, um PBIS mithilfe eines Befehls zu deinstallieren:

/opt/pbis/bin/uninstall.sh uninstall

Wenn Sie alle PBIS-bezogenen Dateien vollständig von Ihrem System entfernen möchten, führen Sie bitte den Bereinigungsprozess aus:

/opt/pbis/bin/uninstall.sh purge

So finden und entfernen Sie veraltete Computer in Active Directory

Einige Organisationen haben ihre maximale Inaktivitätsdauer, die für die AD-Domänenkonten zugelassen werden kann. Daher sollten Konten, die für einen solchen Zeitraum inaktiv waren, gelöscht werden. Es wird jedoch dringend empfohlen, dass Sie zuerst alle inaktiven Konten herausfinden, bevor Sie sie löschen. In unserem Artikel verwenden wir die Eingabeaufforderung. Das Auffinden inaktiver Konten und deren Deaktivierung oder Löschung kann über die Eingabeaufforderung mit dsquery durchgeführt werden Befehl.
Grundsätzlich sucht der dsquery-Befehl nach AD-Objekten gemäß den angegebenen Kriterien (z. B. inaktives Konto für einen bestimmten Zeitraum). Später können die Suchergebnisse als Eingabe für dsmod- und dsrm-Befehle angegeben werden, um Konten zu deaktivieren und zu löschen. Zunächst müssen Sie die Eingabeaufforderung auf dem AD-Host öffnen. Führen Sie dann bitte Folgendes aus, um die inaktiven Computer zu finden:

dsquery computer -inactive

Um jetzt inaktive Computer zu deaktivieren, führen Sie bitte Folgendes aus:

dsquery computer -inactive | dsmod computer -disabled yes

Nach dem Deaktivieren können Sie sie löschen, indem Sie Folgendes ausführen:

dsquery computer -disabled | dsrm -noprompt

Bitte beachten Sie, dass Sie, anstatt die inaktiven Computer zuerst zu deaktivieren, sie direkt löschen können, indem Sie Folgendes ausführen:

dsquery computer -inactive | dsrm -noprompt

Schlussfolgerung

Dieser Artikel ist eine Fortsetzung des vorherigen Artikels zur Integration von LDAP in Active Directory. Es gibt mehrere Möglichkeiten, Linux-Server gegenüber Microsoft Active Directory wie Samba/Winbind, Centrify usw. zu authentifizieren, und Installationsprogramme sind sowohl für das Debian- als auch das RPM-Paketformat verfügbar, das RHEL, Ubuntu, CentOS, Debian usw. unterstützt wurde auf Ubuntu 14.04 LTS Distribution getestet. Mit minimalen Anpassungen sollten diese Schritte auch für andere Distributionen funktionieren. Ältere und jetzt veraltete Versionen von Equal-Open sollten auf ähnliche Weise wie PBIS-Open funktionieren und sind möglicherweise für ältere Distributionen erforderlich.