In diesem Artikel werden wir PowerBroker Identity Services (PBIS) auf dem Ubuntu 14.04 installieren und konfigurieren, um zusammen mit der Windows Active Directory Domain beizutreten. Wir werden auch überlegen, wie Sie mit dem Befehl dsquery ein veraltetes Computerkonto aus AD entfernen.
Herunterladen und installieren
Zunächst müssen wir die neueste Version von PowerBroker Identity Services herunterladen von GitHub
Sie können es auch herunterladen, indem Sie einfach den folgenden Befehl unter Ubuntu OS ausführen:
wget https://github.com/BeyondTrust/pbis-open/releases/download/8.5.3/pbis- open-8.5.3.293.linux.x86.deb.shJetzt müssen Sie das Ausführungsbit setzen und das Paket mit Root-Rechten ausführen:
chmod +x pbis-open-8.5.3.293.linux.x86_64.deb.shsudo ./pbis-open-8.5.3.293.linux.x86_64.deb.shWährend der Installation werden einige Fragen gestellt, also wählen Sie die Optionen entsprechend aus. Sobald die Installation abgeschlossen ist, ist es an der Zeit, den Computer mit der Domäne zu verbinden.
PBIS-Konfiguration
Wir sind bereit, mit der Konfiguration fortzufahren. Navigieren Sie zum Verzeichnis /opt/pbis/bin/ und führen Sie den Befehl domainjoin-cli aus, um einen Host einer Active Directory-Domäne beizutreten.
cd /opt/pbis/bin/
sudo domainjoin-cli join [DomainName [DomainAccount]wo,
DomainName – der Name Ihrer Domain
DomainAccount – Ihr Domain-Account (Benutzer@Domainname)
Beispiel: sudo domainjoin-cli beitreten example.com-Administrator
Geben Sie bei Aufforderung das Kennwort des Active Directory-Administrators ein. Bei erfolgreicher Authentifizierung fügt der Befehl Ihren Ubuntu-Computer als Mitglied der Domäne hinzu. Der Befehl fügt auch Einträge in der Datei /etc/hosts hinzu.
Um die Ubuntu-Domäneneinstellung zu überprüfen, müssen Sie den folgenden Befehl von Ihrem Terminal ausführen:
sudo domainjoin-cli queryDer Befehl zeigt den Namen der Domäne an, der Ihr Ubuntu-Computer beigetreten ist.
Beispiel:
Name = Benutzername
Domäne = example.mit
Distinguished Name = CN=Benutzername,CN=Computer,DC=example,DC=com
Hinweis: Wenn Sie Ihren Ubuntu-Computer aus der Domäne entfernen möchten, müssen Sie Folgendes ausführen:
sudo domainjoin-cli leaveSobald Sie der Domäne beigetreten sind, ist es wichtig, den Zugriff auf die sudoers-Gruppe nur auf Mitglieder der Domänen-Admin-Gruppe zu beschränken. Dies kann erreicht werden, indem die Datei /etc/sudoers aktualisiert wird, indem %domain^admins ALL=(ALL) ALL im Gruppenabschnitt hinzugefügt wird, sodass der Dateiabschnitt sudoers wie folgt aussieht:
# Members of the admin group may gain root privileges
%admin ALL=(ALL) ALL
%domain^admins ALL=(ALL) ALLDas Gute an der Verwendung von PBIS ist, dass es mehrere Möglichkeiten zum Anpassen der Anmeldung, des Domänenpräfixes, der Anmelde-Shell, des Ordnernamens usw. bietet. Um die Standardkonfiguration für Domänenbenutzer einzurichten, müssen Sie PBIS verwenden, um die Umgebung für alle einzurichten erforderlichen Domänenbenutzer, die am System angemeldet werden.
Bitte öffnen Sie das Terminal und führen Sie die folgenden Befehle aus:
sudo /opt/pbis/bin/config UserDomainPrefix [Domain]Domain-Präfix festlegen
sudo /opt/pbis/bin/config AssumeDefaultDomain TrueSetzen Sie dies auf ‘true’ und vermeiden Sie es, ständig Domainnamen einzugeben.
sudo /opt/pbis/bin/config LoginShellTemplate /bin/bashStandard-Shell festlegen
sudo /opt/pbis/bin/config HomeDirTemplate %H/%D/%ULegen Sie ein anderes Home-Verzeichnis fest als die lokalen Benutzer auf dem Computer
sudo /opt/pbis/bin/config RequireMembershipOf "[Domain][SecurityGroup]"Legen Sie bestimmte Active Directory-Sicherheitsgruppen fest
Im nächsten Schritt müssen Sie die Datei pamd.d common-session bearbeiten. Bitte Terminal eingeben:
sudo vi /etc/pam.d/common-sessionNavigieren Sie zu der Zeile, die besagt, dass Sitzung ausreichend pam_lsass.so und ersetze es durch Sitzung [success=ok default=ignore] pam_lsass.so
Dann müssen wir die lightdm-Konfigurationsdatei bearbeiten und die folgenden Zeilen anhängen:
sudo vi /usr/share/lightdm/lightdm.conf.d/50-unity-greeter.confallow-guest=false
greeter-show-manual-login=trueBitte beachten Sie, dass Ihre lightdm-Konfigurationsdatei, wenn Sie Lubuntu 14.04 verwenden, 60-lightdm-gtk-greeter.conf
Probier es aus!
Wenn Sie mit allen Optionen zufrieden sind, starten Sie den Computer einfach neu:
rebootund einloggen:
ssh [username]@[servername]So starten Sie den PBIS-Dienst neu
Die PBIS-Agenten bestehen aus dem Service-Manager-lwsmd-Daemon, der sich in /opt/pbis/sbin/lwsmd befindet. Dieser Daemon enthält den lsass-Dienst, der Authentifizierung, Autorisierung, Caching und ldmap-Lookups handhabt. Da der Authentifizierungsdienst Vertrauensstellungen nur bei Starts registriert, sollten Sie lsass mit dem PBIS Service Manager neu starten, nachdem Sie eine Vertrauensstellung geändert haben. Um den Dienst neu zu starten, führen Sie einfach Folgendes aus:
/opt/pbis/bin/lwsm restart lsassSo deinstallieren Sie PBIS über eine Befehlszeile
Führen Sie den folgenden Befehl aus, um PBIS mithilfe eines Befehls zu deinstallieren:
/opt/pbis/bin/uninstall.sh uninstallWenn Sie alle PBIS-bezogenen Dateien vollständig von Ihrem System entfernen möchten, führen Sie bitte den Löschvorgang aus:
/opt/pbis/bin/uninstall.sh purgeSo finden und entfernen Sie veraltete Computer in Active Directory
Einige Organisationen haben ihre maximale Inaktivitätsdauer, die für die AD-Domänenkonten zulässig ist. Konten, die für einen solchen Zeitraum inaktiv waren, sollten daher gelöscht werden. Es wird jedoch dringend empfohlen, zuerst alle inaktiven Konten herauszufinden, bevor Sie sie löschen. In unserem Artikel verwenden wir die Eingabeaufforderung. Das Auffinden inaktiver Konten und das Deaktivieren oder Löschen können über die Eingabeaufforderung durchgeführt werden, indem Sie verwenden dsquery Befehl.
Grundsätzlich sucht der Befehl dsquery nach den angegebenen Kriterien (zB inaktives Konto für einen bestimmten Zeitraum) nach AD-Objekten. Später können die Suchergebnisse als Eingabe in die Befehle dsmod und dsrm verwendet werden, um Konten zu deaktivieren und zu löschen. Zunächst müssen Sie die Eingabeaufforderung auf dem AD-Host öffnen. Um dann die inaktiven Computer zu finden, führen Sie bitte Folgendes aus:
dsquery computer -inactiveUm inaktive Computer zu deaktivieren, führen Sie bitte Folgendes aus:
dsquery computer -inactive | dsmod computer -disabled yesNach dem Deaktivieren können Sie sie löschen, indem Sie Folgendes ausführen:
dsquery computer -disabled | dsrm -nopromptBitte beachten Sie, dass Sie die inaktiven Computer, anstatt sie zuerst zu deaktivieren, direkt löschen können, indem Sie Folgendes ausführen:
dsquery computer -inactive | dsrm -nopromptFazit
Dieser Artikel ist eine Fortsetzung des früheren Artikels zur Integration von LDAP mit Active Directory. Es gibt mehrere Möglichkeiten, Linux-Server gegenüber Microsoft Active Directory wie Samba/Winbind, Centrify usw. zu authentifizieren. Installationsprogramme sind sowohl für das debian- als auch für das rpm-Paketformat verfügbar, das RHEL, Ubuntu, CentOS, Debian usw. unterstützt wurde auf Ubuntu 14.04 LTS Distribution getestet. Mit minimalen Anpassungen sollten diese Schritte auch für andere Distributionen funktionieren. Ältere und jetzt veraltete Versionen von Similar-Open sollten auf ähnliche Weise wie PBIS-Open funktionieren und können auf älteren Distributionen erforderlich sein.
