Pada artikel ini, kita akan menginstal dan mengkonfigurasi PowerBroker Identity Services (PBIS) di Ubuntu 14.04 untuk bergabung bersama dengan Windows Active Directory Domain. Kami juga akan mempertimbangkan cara menghapus akun komputer basi dari AD menggunakan perintah dsquery.
Unduh dan Instal
Untuk memulainya, kita perlu mengunduh versi terbaru Layanan Identitas PowerBroker dari GitHub
Juga, Anda dapat mengunduhnya hanya dengan menjalankan perintah berikut di OS Ubuntu:
wget https://github.com/BeyondTrust/pbis-open/releases/download/8.5.3/pbis- open-8.5.3.293.linux.x86.deb.sh
Sekarang, Anda perlu mengatur bit eksekusi dan mengeksekusi paket dengan hak akses root:
chmod +x pbis-open-8.5.3.293.linux.x86_64.deb.sh
sudo ./pbis-open-8.5.3.293.linux.x86_64.deb.sh
Ini akan mengajukan beberapa pertanyaan selama instalasi jadi pilih opsi yang sesuai. Setelah instalasi selesai saatnya untuk menggabungkan mesin ke domain.
Konfigurasi PBIS
Kami siap untuk melanjutkan dengan konfigurasi. Harap navigasikan ke direktori /opt/pbis/bin/ dan jalankan perintah domainjoin-cli untuk menggabungkan host ke domain direktori aktif.
cd /opt/pbis/bin/
sudo domainjoin-cli join [DomainName [DomainAccount]
dimana,
DomainName - nama domain Anda
DomainAccount - akun domain Anda (pengguna@namadomain)
Contoh: sudo domainjoin-cli bergabung dengan administrator example.com
Saat diminta, berikan kata sandi administrator Active Directory. Pada otentikasi yang berhasil, perintah menambahkan komputer Ubuntu Anda sebagai anggota domain. Perintah juga menambahkan entri dalam file /etc/hosts.
Untuk memeriksa pengaturan domain Ubuntu, Anda perlu menjalankan perintah berikut dari terminal Anda:
sudo domainjoin-cli query
Perintah tersebut akan menampilkan nama domain tempat komputer Ubuntu Anda bergabung.
Contoh:
Nama =nama pengguna
Domain =contoh.com
Nama Terhormat =CN=nama pengguna,CN=Komputer,DC=contoh,DC=com
Catatan:Jika Anda ingin menghapus komputer Ubuntu Anda dari domain, Anda harus menjalankan
sudo domainjoin-cli leave
Setelah bergabung ke domain, hal penting yang harus dilakukan adalah membatasi akses ke grup sudoers hanya untuk anggota grup Admin Domain. Ini dapat dilakukan dengan memperbarui file /etc/sudoers dengan menambahkan %domain^admins ALL=(ALL) ALL di bagian grup sehingga bagian file sudoers terlihat sebagai berikut:
# Members of the admin group may gain root privileges
%admin ALL=(ALL) ALL
%domain^admins ALL=(ALL) ALL
Hal yang baik tentang menggunakan PBIS adalah memungkinkan beberapa cara untuk menyesuaikan login, awalan domain, shell login, nama folder, dll. Untuk mengatur konfigurasi default untuk pengguna domain, Anda perlu menggunakan PBIS untuk mengatur lingkungan untuk semua pengguna domain yang dibutuhkan yang akan login ke sistem.
Silakan buka terminal dan jalankan perintah berikut:
sudo /opt/pbis/bin/config UserDomainPrefix [Domain]
Setel awalan domain
sudo /opt/pbis/bin/config AssumeDefaultDomain True
Setel ini ke 'true', hindari memasukkan nama domain setiap saat
sudo /opt/pbis/bin/config LoginShellTemplate /bin/bash
Setel cangkang default
sudo /opt/pbis/bin/config HomeDirTemplate %H/%D/%U
Setel direktori home yang berbeda dengan pengguna lokal di mesin
sudo /opt/pbis/bin/config RequireMembershipOf "[Domain]\\[SecurityGroup]"
Setel grup keamanan Direktori Aktif tertentu
Langkah selanjutnya, Anda perlu mengedit file common-session pamd.d. Silakan ketik terminal:
sudo vi /etc/pam.d/common-session
Arahkan ke baris yang menyatakan session cukup pam_lsass.so dan ganti dengan session [success=ok default=ignore] pam_lsass.so
Kemudian, kita perlu mengedit file konfigurasi lightdm dan menambahkan baris berikut:
sudo vi /usr/share/lightdm/lightdm.conf.d/50-unity-greeter.conf
allow-guest=false
greeter-show-manual-login=true
Harap dicatat, bahwa jika Anda menggunakan Lubuntu 14.04, file konfigurasi lightdm Anda akan menjadi 60-lightdm-gtk-greeter.conf
Uji!
Setelah puas dengan semua opsi, cukup reboot mesin:
reboot
dan masuk:
ssh [username]@[servername]
Cara memulai ulang layanan PBIS
Agen PBIS terdiri dari daemon lwsmd manajer layanan, yang terletak di /opt/pbis/sbin/lwsmd. Daemon ini mencakup layanan lsass, yang menangani autentikasi, otorisasi, caching, dan pencarian ldmap. Karena layanan otentikasi mendaftarkan kepercayaan hanya pada startup, Anda harus memulai ulang lsass dengan PBIS Service Manager setelah Anda mengubah hubungan kepercayaan. Untuk memulai ulang layanan cukup jalankan:
/opt/pbis/bin/lwsm restart lsass
Cara menghapus PBIS menggunakan baris perintah
Untuk menghapus instalasi PBIS dengan menggunakan perintah, jalankan perintah berikut:
/opt/pbis/bin/uninstall.sh uninstall
Jika Anda ingin menghapus semua file terkait PBIS dari sistem Anda, jalankan proses pembersihan:
/opt/pbis/bin/uninstall.sh purge
Cara menemukan dan menghapus komputer basi di Active Directory
Beberapa organisasi memiliki periode tidak aktif maksimum yang dapat diizinkan untuk akun domain AD. Jadi, akun yang tidak aktif untuk jangka waktu tersebut harus dihapus. Tetapi sangat disarankan agar Anda mengetahui terlebih dahulu semua akun yang tidak aktif sebelum menghapusnya. Dalam artikel kami, kami akan menggunakan Command Prompt. Menemukan akun yang tidak aktif, dan menonaktifkan atau menghapusnya dapat dilakukan menggunakan command prompt, dengan menggunakan dsquery memerintah.
Pada dasarnya, perintah dsquery mencari objek AD sesuai dengan kriteria yang ditentukan (misalnya, akun tidak aktif untuk jangka waktu tertentu). Nantinya, hasil pencarian dapat diberikan sebagai masukan untuk perintah dsmod dan dsrm untuk menonaktifkan dan menghapus akun. Untuk memulainya, Anda perlu membuka Command Prompt pada host AD. Kemudian, untuk menemukan komputer yang tidak aktif, jalankan:
dsquery computer -inactive
Sekarang, untuk menonaktifkan komputer yang tidak aktif, jalankan:
dsquery computer -inactive | dsmod computer -disabled yes
Setelah dinonaktifkan, Anda diizinkan untuk menghapusnya dengan menjalankan:
dsquery computer -disabled | dsrm -noprompt
Harap dicatat, bahwa alih-alih menonaktifkan komputer yang tidak aktif terlebih dahulu, Anda dapat langsung menghapusnya dengan menjalankan:
dsquery computer -inactive | dsrm -noprompt
Kesimpulan
Artikel ini merupakan kelanjutan dari artikel sebelumnya tentang pengintegrasian LDAP dengan Active Directory. Ada beberapa cara untuk mengautentikasi server Linux terhadap Microsoft Active Directory seperti Samba/Winbind, Centrify, dll. dan installer tersedia untuk format paket debian dan rpm yang mendukung RHEL, Ubuntu, CentOS, Debian, dll. Namun demikian, instruksi yang diberikan hanya memiliki telah diuji pada Distribusi Ubuntu 14.04 LTS. Dengan sedikit penyesuaian, langkah-langkah ini juga harus bekerja untuk distribusi lain. Versi PBIS-Open yang lebih lama dan sekarang tidak digunakan lagi seharusnya bekerja dengan cara yang sama seperti PBIS-Open, dan mungkin diperlukan pada distribusi yang lebih lama.