配置 PBIS 將 Ubuntu 加入 Windows 域

在本文中,我們將在 Ubuntu 14.04 上安裝和配置 PowerBroker 身份服務 (PBIS),以便與 Windows Active Directory 域一起加入。 我們還將考慮如何使用 dsquery 命令從 AD 中刪除陳舊的計算機帳戶。

下載並安裝

首先,我們需要從以下位置下載最新版本的 PowerBroker Identity Services GitHub

此外,您可以通過在 Ubuntu 操作系統上簡單地運行以下命令來下載它:

wget https://github.com/BeyondTrust/pbis-open/releases/download/8.5.3/pbis- open-8.5.3.293.linux.x86.deb.sh

現在,您需要設置執行位並以 root 權限執行包:

chmod +x pbis-open-8.5.3.293.linux.x86_64.deb.sh
sudo ./pbis-open-8.5.3.293.linux.x86_64.deb.sh

它會在安裝過程中詢問幾個問題,因此請相應地選擇選項。 安裝完成後,將機器加入域。

PBIS 配置

我們準備繼續進行配置。 請導航到 /opt/pbis/bin/ 目錄並運行 domainjoin-cli 命令將主機加入 Active Directory 域。

cd /opt/pbis/bin/
sudo domainjoin-cli join [DomainName [DomainAccount]

在哪裡,

DomainName – 您的域的名稱
DomainAccount – 您的域帳戶 (user@domainname)

例子: sudo domainjoin-cli 加入 example.com 管理員

出現提示時,請提供 Active Directory 管理員的密碼。 身份驗證成功後,該命令會將您的 Ubuntu 計算機添加為域成員。 該命令還會在 /etc/hosts 文件中添加條目。
要檢查 Ubuntu 域設置,您需要從終端運行以下命令:

sudo domainjoin-cli query

該命令將顯示您的 Ubuntu 計算機已加入的域的名稱。

例子:

姓名 = 用戶名
域 = example。和
專有名稱 = CN=用戶名,CN=計算機,DC=example,DC=com

注意:如果你想從域中刪除你的 Ubuntu 計算機,你需要運行

sudo domainjoin-cli leave

一旦加入域,重要的事情就是將 sudoers 組的訪問權限限制為僅域管理員組的成員。 這可以通過在組部分添加 %domain^admins ALL=(ALL) ALL 更新 /etc/sudoers 文件來完成,因此 sudoers 文件部分如下所示:

# Members of the admin group may gain root privileges
%admin ALL=(ALL) ALL
%domain^admins ALL=(ALL) ALL

使用PBIS的好處是它允許通過多種方式自定義登錄名、域前綴、登錄shell、文件夾名等。 為了為域用戶設置默認配置,需要使用PBIS為所有用戶設置環境需要登錄到系統的域用戶。
請打開終端並運行以下命令:

sudo /opt/pbis/bin/config UserDomainPrefix [Domain]

設置域前綴

sudo /opt/pbis/bin/config AssumeDefaultDomain True

將此設置為 ‘true’ 避免一直輸入域名

sudo /opt/pbis/bin/config LoginShellTemplate /bin/bash

設置默認外殼

sudo /opt/pbis/bin/config HomeDirTemplate %H/%D/%U

設置不同的主目錄然後機器上的本地用戶

sudo /opt/pbis/bin/config RequireMembershipOf "[Domain][SecurityGroup]"

設置特定的 Active Directory 安全組

下一步,您需要編輯 pamd.d 公共會話文件。 請在終端輸入:

sudo vi /etc/pam.d/common-session

導航到說明的行 會話足夠 pam_lsass.so 並將其替換為 會議 [success=ok default=ignore] pam_lsass.so

然後,我們需要編輯 lightdm 配置文件並附加以下幾行:

sudo vi /usr/share/lightdm/lightdm.conf.d/50-unity-greeter.conf
allow-guest=false
greeter-show-manual-login=true

請注意,如果您使用 Lubuntu 14.04,您的 lightdm 配置文件將是 60-lightdm-gtk-greeter.conf

測試一下!

一旦對所有選項感到滿意,只需重新啟動機器:

reboot

並登錄:

ssh [username]@[servername]

如何重新啟動 PBIS 服務

PBIS 代理由位於 /opt/pbis/sbin/lwsmd 中的服務管理器 lwsmd 守護程序組成。 這個守護進程包括 lsass 服務,它處理身份驗證、授權、緩存和 ldmap 查找。 由於身份驗證服務僅在啟動時註冊信任,因此您應該在修改信任關係後使用 PBIS 服務管理器重新啟動 lsass。 要重新啟動服務,只需運行:

/opt/pbis/bin/lwsm restart lsass

如何使用命令行卸載 PBIS

要使用命令卸載 PBIS,請運行以下命令:

/opt/pbis/bin/uninstall.sh uninstall

如果要從系統中完全刪除所有 PBIS 相關文件,請運行清除過程:

/opt/pbis/bin/uninstall.sh purge

如何在 Active Directory 中查找和刪除陳舊的計算機

某些組織具有 AD 域帳戶可以允許的最長不活動期。 因此,應該刪除在這段時間內處於非活動狀態的帳戶。 但強烈建議您在刪除之前先找出所有不活動的帳戶。 在我們的文章中,我們將使用命令提示符。 可以使用命令提示符查找非活動帳戶並禁用或刪除它們,方法是使用 查詢 命令。
基本上,dsquery 命令根據指定的條件(例如,特定時間段內的非活動帳戶)搜索 AD 對象。 稍後,可以將搜索結果作為 dsmod 和 dsrm 命令的輸入,以禁用和刪除帳戶。 首先,您需要在 AD 主機上打開命令提示符。 然後,要查找不活動的計算機,請運行:

dsquery computer -inactive

現在,要禁用不活動的計算機,請運行:

dsquery computer -inactive | dsmod computer -disabled yes

禁用後,您可以通過運行來刪除它們:

dsquery computer -disabled | dsrm -noprompt

請注意,您可以通過運行以下命令直接刪除它們,而不是首先禁用不活動的計算機:

dsquery computer -inactive | dsrm -noprompt

結論

本文是有關將 LDAP 與 Active Directory 集成的早期文章的延續。 有多種方法可以根據 Microsoft Active Directory 對 Linux 服務器進行身份驗證,例如 Samba/Winbind、Centrify 等,並且安裝程序可用於支持 RHEL、Ubuntu、CentOS、Debian 等的 debian 和 rpm 包格式。然而,提供的說明只有在 Ubuntu 14.04 LTS 發行版上進行了測試。 通過最少的調整,這些步驟也適用於其他發行版。 較舊的和現在已棄用的版本的 Likely-Open 應該以與 PBIS-Open 類似的方式工作,並且可能需要在較舊的發行版中使用。