V tomto článku nainstalujeme a nakonfigurujeme služby PowerBroker Identity Services (PBIS) na Ubuntu 14.04, abychom se mohli spojit s doménou Windows Active Directory. Také zvážíme, jak odstranit zastaralý počítačový účet z AD pomocí příkazu dsquery.
Stáhnout a nainstalovat
Pro začátek si musíme stáhnout nejnovější verzi PowerBroker Identity Services z GitHubu
Můžete si jej také stáhnout jednoduše spuštěním následujícího příkazu v OS Ubuntu:
wget https://github.com/BeyondTrust/pbis-open/releases/download/8.5.3/pbis- open-8.5.3.293.linux.x86.deb.shNyní musíte nastavit bit spuštění a spustit balíček s právy root:
chmod +x pbis-open-8.5.3.293.linux.x86_64.deb.shsudo ./pbis-open-8.5.3.293.linux.x86_64.deb.shBěhem instalace se zeptá na několik otázek, takže podle toho vyberte možnosti. Po dokončení instalace je čas připojit počítač k doméně.
Konfigurace PBIS
Jsme připraveni pokračovat v konfiguraci. Přejděte prosím do adresáře /opt/pbis/bin/ a spusťte příkaz domainjoin-cli pro připojení hostitele k doméně Active Directory.
cd /opt/pbis/bin/
sudo domainjoin-cli join [DomainName [DomainAccount]kde,
DomainName – název vaší domény
DomainAccount – váš doménový účet (user@domainname)
Příklad: správce sudo domainjoin-cli join example.com
Po zobrazení výzvy zadejte heslo správce služby Active Directory. Po úspěšném ověření příkaz přidá váš počítač Ubuntu jako člena domény. Příkaz také přidá položky do souboru /etc/hosts.
Chcete-li zkontrolovat nastavení domény Ubuntu, musíte z terminálu spustit následující příkaz:
sudo domainjoin-cli queryPříkaz zobrazí název domény, ke které se váš počítač Ubuntu připojil.
Příklad:
Jméno =uživatelské jméno
Doména =example.com
Rozlišující jméno =CN=uživatelské jméno,CN=Počítače,DC=příklad,DC=cz
Poznámka:Pokud chcete odebrat počítač Ubuntu z domény, musíte spustit
sudo domainjoin-cli leavePo připojení k doméně je důležité omezit přístup ke skupině sudoers pouze na členy skupiny Domain Admin. Toho lze dosáhnout aktualizací souboru /etc/sudoers přidáním %domain^admins ALL=(ALL) ALL do sekce skupiny, takže sekce souboru sudoers vypadá následovně:
# Members of the admin group may gain root privileges
%admin ALL=(ALL) ALL
%domain^admins ALL=(ALL) ALL
Dobrá věc na používání PBIS je, že umožňuje více způsobů, jak upravit přihlašovací jméno, prefix domény, přihlašovací shell, název složky atd. Abyste mohli nastavit výchozí konfiguraci pro uživatele domény, musíte pomocí PBIS nastavit prostředí pro všechny požadované uživatele domény, kteří budou přihlášeni do systému.
Otevřete prosím terminál a spusťte následující příkazy:
sudo /opt/pbis/bin/config UserDomainPrefix [Domain]Nastavit prefix domény
sudo /opt/pbis/bin/config AssumeDefaultDomain TrueNastavte toto na 'true', vyhněte se neustálému zadávání názvů domén
sudo /opt/pbis/bin/config LoginShellTemplate /bin/bashNastavit výchozí shell
sudo /opt/pbis/bin/config HomeDirTemplate %H/%D/%UNastavte jiný domovský adresář než místní uživatelé na počítači
sudo /opt/pbis/bin/config RequireMembershipOf "[Domain]\\[SecurityGroup]"Nastavte konkrétní skupiny zabezpečení služby Active Directory
V dalším kroku musíte upravit soubor společné relace pamd.d. Zadejte prosím terminál:
sudo vi /etc/pam.d/common-sessionPřejděte na řádek, který uvádí relace postačující pam_lsass.so a nahraďte jej výrazem session [success=ok default=ignore] pam_lsass.so
Poté musíme upravit konfigurační soubor lightdm a připojit následující řádky:
sudo vi /usr/share/lightdm/lightdm.conf.d/50-unity-greeter.confallow-guest=false
greeter-show-manual-login=trueVezměte prosím na vědomí, že pokud používáte Lubuntu 14.04, váš konfigurační soubor lightdm bude 60-lightdm-gtk-greeter.conf
Otestujte to!
Jakmile budete spokojeni se všemi možnostmi, restartujte počítač:
reboota přihlaste se:
ssh [username]@[servername]Jak restartovat službu PBIS
Agenti PBIS se skládají z démona správce služeb lwsmd, který se nachází v /opt/pbis/sbin/lwsmd. Tento démon zahrnuje službu lsass, která se stará o autentizaci, autorizaci, ukládání do mezipaměti a vyhledávání ldmap. Protože ověřovací služba registruje důvěryhodnosti pouze při spuštění, měli byste po úpravě vztahu důvěryhodnosti restartovat lsass pomocí Správce služeb PBIS. Chcete-li službu restartovat, jednoduše spusťte:
/opt/pbis/bin/lwsm restart lsassJak odinstalovat PBIS pomocí příkazového řádku
Chcete-li odinstalovat PBIS pomocí příkazu, spusťte následující příkaz:
/opt/pbis/bin/uninstall.sh uninstallPokud chcete ze svého systému úplně odstranit všechny soubory související s PBIS, spusťte prosím proces čištění:
/opt/pbis/bin/uninstall.sh purgeJak najít a odstranit zastaralé počítače ve službě Active Directory
Některé organizace mají maximální dobu nečinnosti, kterou lze povolit pro účty domény AD. Účty, které byly po takovou dobu neaktivní, by tedy měly být smazány. Důrazně však doporučujeme, abyste si nejprve zjistili všechny neaktivní účty, než je smažete. V našem článku použijeme příkazový řádek. Vyhledání neaktivních účtů a jejich zakázání nebo odstranění lze provést pomocí příkazového řádku pomocí dsquery příkaz.
Příkaz dsquery v podstatě vyhledává objekty AD podle zadaných kritérií (například neaktivní účet po určitou dobu). Později mohou být výsledky vyhledávání zadány jako vstup pro příkazy dsmod a dsrm za účelem deaktivace a odstranění účtů. Chcete-li začít, musíte otevřít příkazový řádek na hostiteli AD. Poté, chcete-li najít počítače, které jsou neaktivní, spusťte:
dsquery computer -inactiveNyní, chcete-li deaktivovat neaktivní počítače, spusťte:
dsquery computer -inactive | dsmod computer -disabled yesPo deaktivaci je pak můžete smazat spuštěním:
dsquery computer -disabled | dsrm -nopromptVezměte prosím na vědomí, že namísto deaktivace neaktivních počítačů je můžete přímo smazat spuštěním:
dsquery computer -inactive | dsrm -nopromptZávěr
Tento článek je pokračováním dřívějšího článku o integraci LDAP se službou Active Directory. Existuje několik způsobů, jak ověřit linuxové servery proti Microsoft Active Directory, jako je Samba/Winbind, Centrify atd. a instalátory jsou k dispozici pro formát balíčků debian i rpm podporující RHEL, Ubuntu, CentOS, Debian atd. Poskytnuté pokyny však obsahují pouze testováno na Ubuntu 14.04 LTS Distribution. S minimálním laděním by tyto kroky měly fungovat i pro jiné distribuce. Starší a nyní zastaralé verze Likewise-Open by měly fungovat podobným způsobem jako PBIS-Open a mohou být vyžadovány u starších distribucí.