GNU/Linux >> Belajar Linux >  >> Ubuntu

Konfigurasikan PBIS untuk Bergabung dengan Ubuntu ke Windows Domain

Pada artikel ini, kita akan menginstal dan mengkonfigurasi PowerBroker Identity Services (PBIS) di Ubuntu 14.04 untuk bergabung bersama dengan Windows Active Directory Domain. Kami juga akan mempertimbangkan cara menghapus akun komputer basi dari AD menggunakan perintah dsquery.

Unduh dan Instal

Untuk memulainya, kita perlu mengunduh versi terbaru Layanan Identitas PowerBroker dari GitHub

Juga, Anda dapat mengunduhnya hanya dengan menjalankan perintah berikut di OS Ubuntu:

wget https://github.com/BeyondTrust/pbis-open/releases/download/8.5.3/pbis- open-8.5.3.293.linux.x86.deb.sh

Sekarang, Anda perlu mengatur bit eksekusi dan mengeksekusi paket dengan hak akses root:

chmod +x pbis-open-8.5.3.293.linux.x86_64.deb.sh
sudo ./pbis-open-8.5.3.293.linux.x86_64.deb.sh

Ini akan mengajukan beberapa pertanyaan selama instalasi jadi pilih opsi yang sesuai. Setelah instalasi selesai saatnya untuk menggabungkan mesin ke domain.

Konfigurasi PBIS

Kami siap untuk melanjutkan dengan konfigurasi. Harap navigasikan ke direktori /opt/pbis/bin/ dan jalankan perintah domainjoin-cli untuk menggabungkan host ke domain direktori aktif.

cd /opt/pbis/bin/
sudo domainjoin-cli join [DomainName [DomainAccount]

dimana,

DomainName - nama domain Anda
DomainAccount - akun domain Anda (pengguna@namadomain)

Contoh: sudo domainjoin-cli bergabung dengan administrator example.com

Saat diminta, berikan kata sandi administrator Active Directory. Pada otentikasi yang berhasil, perintah menambahkan komputer Ubuntu Anda sebagai anggota domain. Perintah juga menambahkan entri dalam file /etc/hosts.
Untuk memeriksa pengaturan domain Ubuntu, Anda perlu menjalankan perintah berikut dari terminal Anda:

sudo domainjoin-cli query

Perintah tersebut akan menampilkan nama domain tempat komputer Ubuntu Anda bergabung.

Contoh:

Nama =nama pengguna
Domain =contoh.com
Nama Terhormat =CN=nama pengguna,CN=Komputer,DC=contoh,DC=com

Catatan:Jika Anda ingin menghapus komputer Ubuntu Anda dari domain, Anda harus menjalankan

sudo domainjoin-cli leave

Setelah bergabung ke domain, hal penting yang harus dilakukan adalah membatasi akses ke grup sudoers hanya untuk anggota grup Admin Domain. Ini dapat dilakukan dengan memperbarui file /etc/sudoers dengan menambahkan %domain^admins ALL=(ALL) ALL di bagian grup sehingga bagian file sudoers terlihat sebagai berikut:

# Members of the admin group may gain root privileges
%admin ALL=(ALL) ALL
%domain^admins ALL=(ALL) ALL

Hal yang baik tentang menggunakan PBIS adalah memungkinkan beberapa cara untuk menyesuaikan login, awalan domain, shell login, nama folder, dll. Untuk mengatur konfigurasi default untuk pengguna domain, Anda perlu menggunakan PBIS untuk mengatur lingkungan untuk semua pengguna domain yang dibutuhkan yang akan login ke sistem.
Silakan buka terminal dan jalankan perintah berikut:

sudo /opt/pbis/bin/config UserDomainPrefix [Domain]

Setel awalan domain

sudo /opt/pbis/bin/config AssumeDefaultDomain True

Setel ini ke 'true', hindari memasukkan nama domain setiap saat

sudo /opt/pbis/bin/config LoginShellTemplate /bin/bash

Setel cangkang default

sudo /opt/pbis/bin/config HomeDirTemplate %H/%D/%U

Setel direktori home yang berbeda dengan pengguna lokal di mesin

sudo /opt/pbis/bin/config RequireMembershipOf "[Domain]\\[SecurityGroup]"

Setel grup keamanan Direktori Aktif tertentu

Langkah selanjutnya, Anda perlu mengedit file common-session pamd.d. Silakan ketik terminal:

sudo vi /etc/pam.d/common-session

Arahkan ke baris yang menyatakan session cukup pam_lsass.so dan ganti dengan session [success=ok default=ignore] pam_lsass.so

Kemudian, kita perlu mengedit file konfigurasi lightdm dan menambahkan baris berikut:

sudo vi /usr/share/lightdm/lightdm.conf.d/50-unity-greeter.conf
allow-guest=false
greeter-show-manual-login=true

Harap dicatat, bahwa jika Anda menggunakan Lubuntu 14.04, file konfigurasi lightdm Anda akan menjadi 60-lightdm-gtk-greeter.conf

Uji!

Setelah puas dengan semua opsi, cukup reboot mesin:

reboot

dan masuk:

ssh [username]@[servername]

Cara memulai ulang layanan PBIS

Agen PBIS terdiri dari daemon lwsmd manajer layanan, yang terletak di /opt/pbis/sbin/lwsmd. Daemon ini mencakup layanan lsass, yang menangani autentikasi, otorisasi, caching, dan pencarian ldmap. Karena layanan otentikasi mendaftarkan kepercayaan hanya pada startup, Anda harus memulai ulang lsass dengan PBIS Service Manager setelah Anda mengubah hubungan kepercayaan. Untuk memulai ulang layanan cukup jalankan:

/opt/pbis/bin/lwsm restart lsass

Cara menghapus PBIS menggunakan baris perintah

Untuk menghapus instalasi PBIS dengan menggunakan perintah, jalankan perintah berikut:

/opt/pbis/bin/uninstall.sh uninstall

Jika Anda ingin menghapus semua file terkait PBIS dari sistem Anda, jalankan proses pembersihan:

/opt/pbis/bin/uninstall.sh purge

Cara menemukan dan menghapus komputer basi di Active Directory

Beberapa organisasi memiliki periode tidak aktif maksimum yang dapat diizinkan untuk akun domain AD. Jadi, akun yang tidak aktif untuk jangka waktu tersebut harus dihapus. Tetapi sangat disarankan agar Anda mengetahui terlebih dahulu semua akun yang tidak aktif sebelum menghapusnya. Dalam artikel kami, kami akan menggunakan Command Prompt. Menemukan akun yang tidak aktif, dan menonaktifkan atau menghapusnya dapat dilakukan menggunakan command prompt, dengan menggunakan dsquery memerintah.
Pada dasarnya, perintah dsquery mencari objek AD sesuai dengan kriteria yang ditentukan (misalnya, akun tidak aktif untuk jangka waktu tertentu). Nantinya, hasil pencarian dapat diberikan sebagai masukan untuk perintah dsmod dan dsrm untuk menonaktifkan dan menghapus akun. Untuk memulainya, Anda perlu membuka Command Prompt pada host AD. Kemudian, untuk menemukan komputer yang tidak aktif, jalankan:

dsquery computer -inactive

Sekarang, untuk menonaktifkan komputer yang tidak aktif, jalankan:

dsquery computer -inactive | dsmod computer -disabled yes

Setelah dinonaktifkan, Anda diizinkan untuk menghapusnya dengan menjalankan:

dsquery computer -disabled | dsrm -noprompt

Harap dicatat, bahwa alih-alih menonaktifkan komputer yang tidak aktif terlebih dahulu, Anda dapat langsung menghapusnya dengan menjalankan:

dsquery computer -inactive | dsrm -noprompt

Kesimpulan

Artikel ini merupakan kelanjutan dari artikel sebelumnya tentang pengintegrasian LDAP dengan Active Directory. Ada beberapa cara untuk mengautentikasi server Linux terhadap Microsoft Active Directory seperti Samba/Winbind, Centrify, dll. dan installer tersedia untuk format paket debian dan rpm yang mendukung RHEL, Ubuntu, CentOS, Debian, dll. Namun demikian, instruksi yang diberikan hanya memiliki telah diuji pada Distribusi Ubuntu 14.04 LTS. Dengan sedikit penyesuaian, langkah-langkah ini juga harus bekerja untuk distribusi lain. Versi PBIS-Open yang lebih lama dan sekarang tidak digunakan lagi seharusnya bekerja dengan cara yang sama seperti PBIS-Open, dan mungkin diperlukan pada distribusi yang lebih lama.


Ubuntu

  1. Instal Nginx dan konfigurasikan Virtual host di Ubuntu 20.04

  2. Bagaimana Cara Menginstal dan Mengonfigurasi Varnish di Ubuntu 20.04?

  3. Ubuntu – Konfigurasikan SSD (Sudo Dan Dyndns_update) Dengan Realmd?

  1. Cara Menginstal dan Mengkonfigurasi Nginx di Ubuntu 20.04

  2. Konfigurasikan Sudo tanpa kata sandi di Ubuntu 20.04 Focal Fossa Linux

  3. Cara Menginstal dan Mengonfigurasi GitLab di Ubuntu 18.04

  1. Cara Menginstal dan Mengonfigurasi Nextcloud dengan Apache di Ubuntu 18.04

  2. Cara Menginstal dan Mengonfigurasi Nagios di Ubuntu 18.04

  3. Instal dan Konfigurasikan Kolab Groupware di Ubuntu 16.04 LTS