GNU/Linux >> Tutoriales Linux >  >> Ubuntu

Configurar PBIS para unir Ubuntu al dominio de Windows

En este artículo, instalaremos y configuraremos PowerBroker Identity Services (PBIS) en Ubuntu 14.04 para unirnos con el dominio de Active Directory de Windows. También consideraremos cómo eliminar una cuenta de computadora obsoleta de AD usando el comando dsquery.

Descargar e instalar

Para empezar, necesitamos descargar la última versión de PowerBroker Identity Services desde GitHub

Además, puede descargarlo simplemente ejecutando el siguiente comando en Ubuntu OS:

wget https://github.com/BeyondTrust/pbis-open/releases/download/8.5.3/pbis- open-8.5.3.293.linux.x86.deb.sh

Ahora, debe configurar el bit de ejecución y ejecutar el paquete con privilegios de root:

chmod +x pbis-open-8.5.3.293.linux.x86_64.deb.sh
sudo ./pbis-open-8.5.3.293.linux.x86_64.deb.sh

Le hará un par de preguntas durante la instalación, así que elija las opciones correspondientes. Una vez que se realiza la instalación, es hora de unir la máquina al dominio.

Configuración de PBIS

Estamos listos para continuar con la configuración. Navegue hasta el directorio /opt/pbis/bin/ y ejecute el comando domainjoin-cli para unir un host a un dominio de Active Directory.

cd /opt/pbis/bin/
sudo domainjoin-cli join [DomainName [DomainAccount]

donde,

DomainName - el nombre de su dominio
DomainAccount - su cuenta de dominio (usuario@nombrededominio)

Ejemplo: sudo domainjoin-cli join example.com administrador

Cuando se le solicite, proporcione la contraseña del administrador de Active Directory. En una autenticación exitosa, el comando agrega su computadora Ubuntu como miembro del dominio. El comando también agrega entradas en el archivo /etc/hosts.
Para verificar la configuración del dominio de Ubuntu, debe ejecutar el siguiente comando desde su terminal:

sudo domainjoin-cli query

El comando mostrará el nombre del dominio al que se ha unido su computadora Ubuntu.

Ejemplo:

Nombre =nombre de usuario
Dominio =ejemplo.com
Nombre distinguido =CN=nombre de usuario,CN=Computadoras,DC=ejemplo,DC=com

Nota:si desea eliminar su computadora Ubuntu del dominio, debe ejecutar

sudo domainjoin-cli leave

Una vez que se unió al dominio, lo importante que debe hacer es restringir el acceso al grupo de sudoers solo a los miembros del grupo de administración del dominio. Esto se puede lograr actualizando el archivo /etc/sudoers agregando %domain^admins ALL=(ALL) ALL en la sección del grupo para que la sección del archivo sudoers tenga el siguiente aspecto:

# Members of the admin group may gain root privileges
%admin ALL=(ALL) ALL
%domain^admins ALL=(ALL) ALL

Lo bueno de usar PBIS es que permite varias formas de personalizar el inicio de sesión, el prefijo del dominio, el shell de inicio de sesión, el nombre de la carpeta, etc. Para establecer la configuración predeterminada para los usuarios del dominio, debe usar PBIS para establecer el entorno para todos. usuarios de dominio requeridos que se registrarán en el sistema.
Abra la terminal y ejecute los siguientes comandos:

sudo /opt/pbis/bin/config UserDomainPrefix [Domain]

Establecer prefijo de dominio

sudo /opt/pbis/bin/config AssumeDefaultDomain True

Configure esto en 'verdadero' para evitar ingresar nombres de dominio todo el tiempo

sudo /opt/pbis/bin/config LoginShellTemplate /bin/bash

Establecer shell predeterminado

sudo /opt/pbis/bin/config HomeDirTemplate %H/%D/%U

Establezca un directorio de inicio diferente al de los usuarios locales en la máquina

sudo /opt/pbis/bin/config RequireMembershipOf "[Domain]\\[SecurityGroup]"

Establecer grupos de seguridad específicos de Active Directory

El siguiente paso es editar el archivo de sesión común pamd.d. Escriba en la terminal:

sudo vi /etc/pam.d/common-session

Vaya a la línea que dice sesión suficiente pam_lsass.so y reemplácelo con session [success=ok default=ignore] pam_lsass.so

Luego, debemos editar el archivo de configuración de lightdm y agregar las siguientes líneas:

sudo vi /usr/share/lightdm/lightdm.conf.d/50-unity-greeter.conf
allow-guest=false
greeter-show-manual-login=true

Tenga en cuenta que si está utilizando Lubuntu 14.04, su archivo de configuración de lightdm será 60-lightdm-gtk-greeter.conf

¡Pruébalo!

Una vez que esté satisfecho con todas las opciones, simplemente reinicie la máquina:

reboot

e iniciar sesión:

ssh [username]@[servername]

Cómo reiniciar el servicio PBIS

Los agentes PBIS están compuestos por el daemon del administrador de servicios lwsmd, que se encuentra en /opt/pbis/sbin/lwsmd. Este demonio incluye el servicio lsass, que maneja la autenticación, la autorización, el almacenamiento en caché y las búsquedas en ldmap. Debido a que el servicio de autenticación registra las confianzas solo en los inicios, debe reiniciar lsass con el Administrador de servicios de PBIS después de modificar una relación de confianza. Para reiniciar el servicio, simplemente ejecute:

/opt/pbis/bin/lwsm restart lsass

Cómo desinstalar PBIS usando una línea de comando

Para desinstalar PBIS usando un comando, ejecute el siguiente comando:

/opt/pbis/bin/uninstall.sh uninstall

Si desea eliminar por completo todos los archivos relacionados con PBIS de su sistema, ejecute el proceso de purga:

/opt/pbis/bin/uninstall.sh purge

Cómo encontrar y eliminar equipos obsoletos en Active Directory

Algunas organizaciones tienen su período máximo de inactividad que se puede permitir para las cuentas de dominio de AD. Por lo tanto, las cuentas que estuvieron inactivas durante ese período de tiempo deben eliminarse. Pero es muy recomendable que primero averigüe todas las cuentas inactivas antes de eliminarlas. En nuestro artículo, usaremos el símbolo del sistema. La búsqueda de cuentas inactivas y su desactivación o eliminación se pueden realizar mediante el símbolo del sistema, usando dsquery dominio.
Básicamente, el comando dsquery busca objetos de AD según los criterios especificados (por ejemplo, cuenta inactiva durante un período de tiempo específico). Posteriormente, los resultados de la búsqueda se pueden proporcionar como entrada a los comandos dsmod y dsrm para deshabilitar y eliminar cuentas. Para empezar, debe abrir el Símbolo del sistema en el host AD. Luego, para encontrar las computadoras que están inactivas, ejecute:

dsquery computer -inactive

Ahora, para deshabilitar las computadoras inactivas, ejecute:

dsquery computer -inactive | dsmod computer -disabled yes

Después de deshabilitarlos, puede eliminarlos ejecutando:

dsquery computer -disabled | dsrm -noprompt

Tenga en cuenta que, en lugar de deshabilitar primero las computadoras inactivas, puede eliminarlas directamente ejecutando:

dsquery computer -inactive | dsrm -noprompt

Conclusión

Este artículo es una continuación del artículo anterior sobre la integración de LDAP con Active Directory. Hay varias formas de autenticar los servidores Linux contra Microsoft Active Directory como Samba/Winbind, Centrify, etc. y los instaladores están disponibles para los formatos de paquete debian y rpm compatibles con RHEL, Ubuntu, CentOS, Debian, etc. Sin embargo, las instrucciones proporcionadas solo tienen ha sido probado en Ubuntu 14.04 LTS Distribution. Con ajustes mínimos, estos pasos también deberían funcionar para otras distribuciones. Las versiones anteriores y ahora en desuso de Like-Open deberían funcionar de manera similar a PBIS-Open, y es posible que se requieran en distribuciones más antiguas.


Ubuntu

  1. Cómo instalar y configurar Nginx en Ubuntu 20.04

  2. Configurar sudo sin contraseña en Ubuntu 20.04 Focal Fossa Linux

  3. Instale Nginx y configure el host virtual en Ubuntu 20.04

  4. ¿Cómo instalar y configurar Varnish en Ubuntu 20.04?

  5. Ubuntu – ¿Configurar Sssd (sudo y Dyndns_update) con Realmd?

Cómo instalar y configurar GitLab CE en Ubuntu 18.04 LTS

Cómo instalar y configurar DNS en Ubuntu

Cómo instalar y configurar Kubernetes en Ubuntu

Instalar y configurar Log con Graylog en Ubuntu 20.04

Cómo instalar y configurar el cortafuegos UFW en Ubuntu 20.04

Cómo instalar y configurar Memcached en Ubuntu