LINUX

Configurar PBIS para unir Ubuntu al dominio de Windows

pbis ubuntuEn este artículo, instalaremos y configuraremos PowerBroker Identity Services (PBIS) en Ubuntu 14.04 para unirnos con Windows Active Directory Domain. También consideraremos cómo eliminar una cuenta de computadora obsoleta de AD usando el comando dsquery.

Descargar e instalar

Para empezar, necesitamos descargar la última versión de PowerBroker Identity Services de GitHub

Además, puede descargarlo simplemente ejecutando el siguiente comando en el sistema operativo Ubuntu:

wget https://github.com/BeyondTrust/pbis-open/releases/download/8.5.3/pbis- open-8.5.3.293.linux.x86.deb.sh

Ahora, necesita establecer el bit de ejecución y ejecutar el paquete con privilegios de root:

chmod +x pbis-open-8.5.3.293.linux.x86_64.deb.sh
sudo ./pbis-open-8.5.3.293.linux.x86_64.deb.sh

Hará un par de preguntas durante la instalación, así que elija las opciones en consecuencia. Una vez finalizada la instalación, es hora de unir la máquina al dominio.

Configuración PBIS

Estamos listos para continuar con la configuración. Navegue al directorio / opt / pbis / bin / y ejecute el comando domainjoin-cli para unir un host a un dominio de Active Directory.

cd /opt/pbis/bin/
sudo domainjoin-cli join [DomainName [DomainAccount]

dónde,

DomainName: el nombre de su dominio
DomainAccount: su cuenta de dominio (usuario @ nombre de dominio)

Ejemplo: sudo domainjoin-cli unirse a example.com administrador

Cuando se le solicite, proporcione la contraseña del administrador de Active Directory. En la autenticación exitosa, el comando agrega su computadora Ubuntu como miembro del dominio. El comando también agrega entradas en el archivo / etc / hosts.
Para verificar la configuración del dominio de Ubuntu, debe ejecutar el siguiente comando desde su terminal:

sudo domainjoin-cli query

El comando mostrará el nombre del dominio al que se ha unido su computadora Ubuntu.

Ejemplo:

Nombre = nombre de usuario
Dominio = ejemplo.com
Nombre distinguido = CN = nombre de usuario, CN = Computadoras, DC = ejemplo, DC = com

Nota: Si desea eliminar su computadora Ubuntu del dominio, debe ejecutar

sudo domainjoin-cli leave

Una vez unido al dominio, lo importante que debe hacer es restringir el acceso al grupo de sudoers solo a los miembros del grupo Administrador del dominio. Esto se puede lograr actualizando el archivo / etc / sudoers agregando% domain ^ admins ALL = (ALL) ALL en la sección del grupo para que la sección del archivo sudoers tenga el siguiente aspecto:

# Members of the admin group may gain root privileges
%admin ALL=(ALL) ALL
%domain^admins ALL=(ALL) ALL

Lo bueno de usar PBIS es que permite múltiples formas de personalizar el inicio de sesión, el prefijo de dominio, el shell de inicio de sesión, el nombre de la carpeta, etc. Para configurar la configuración predeterminada para los usuarios del dominio, debe usar PBIS para configurar el entorno para todos. los usuarios de dominio requeridos que se registrarán en el sistema.
Abra la terminal y ejecute los siguientes comandos:

sudo /opt/pbis/bin/config UserDomainPrefix [Domain]

Establecer prefijo de dominio

sudo /opt/pbis/bin/config AssumeDefaultDomain True

Establezca esto en ‘verdadero’ para evitar ingresar nombres de dominio todo el tiempo

sudo /opt/pbis/bin/config LoginShellTemplate /bin/bash

Establecer shell predeterminado

sudo /opt/pbis/bin/config HomeDirTemplate %H/%D/%U

Establezca un directorio de inicio diferente y luego los usuarios locales en la máquina

sudo /opt/pbis/bin/config RequireMembershipOf "[Domain][SecurityGroup]"

Establecer grupos de seguridad de Active Directory específicos

El siguiente paso es editar el archivo de sesión común pamd.d. Por favor escriba terminal:

sudo vi /etc/pam.d/common-session

Navega hasta la línea que dice sesión suficiente pam_lsass.so y reemplazarlo con sesión [success=ok default=ignore] pam_lsass.so

Luego, necesitamos editar el archivo de configuración lightdm y agregar las siguientes líneas:

sudo vi /usr/share/lightdm/lightdm.conf.d/50-unity-greeter.conf
allow-guest=false
greeter-show-manual-login=true

Tenga en cuenta que si está utilizando Lubuntu 14.04, su archivo de configuración lightdm será 60-lightdm-gtk-greeter.conf

¡Pruébalo!

Una vez que esté satisfecho con todas las opciones, simplemente reinicie la máquina:

reboot

e iniciar sesión:

ssh [username]@[servername]

Cómo reiniciar el servicio PBIS

Los agentes PBIS están compuestos por el demonio lwsmd del administrador de servicios, que se encuentra en / opt / pbis / sbin / lwsmd. Este demonio incluye el servicio lsass, que maneja la autenticación, autorización, almacenamiento en caché y búsquedas de ldmap. Debido a que el servicio de autenticación registra confianzas solo en los inicios, debe reiniciar lsass con PBIS Service Manager después de modificar una relación de confianza. Para reiniciar el servicio, simplemente ejecute:

/opt/pbis/bin/lwsm restart lsass

Cómo desinstalar PBIS usando una línea de comando

Para desinstalar PBIS usando un comando, ejecute el siguiente comando:

/opt/pbis/bin/uninstall.sh uninstall

Si desea eliminar por completo todos los archivos relacionados con PBIS de su sistema, ejecute el proceso de purga:

/opt/pbis/bin/uninstall.sh purge

Cómo encontrar y eliminar computadoras obsoletas en Active Directory

Algunas organizaciones tienen su período máximo de inactividad que se puede permitir para las cuentas de dominio de AD. Por lo tanto, las cuentas que estuvieron inactivas durante ese período de tiempo deben eliminarse. Pero es muy recomendable que primero averigüe todas las cuentas inactivas antes de eliminarlas. En nuestro artículo, usaremos el símbolo del sistema. Encontrar cuentas inactivas y deshabilitarlas o eliminarlas se puede realizar usando el símbolo del sistema, usando dsquery mando.
Básicamente, el comando dsquery busca objetos AD según los criterios especificados (por ejemplo, cuenta inactiva durante un período de tiempo específico). Más adelante, los resultados de la búsqueda se pueden proporcionar como entrada a los comandos dsmod y dsrm para deshabilitar y eliminar cuentas. Para empezar, debe abrir el símbolo del sistema en el host de AD. Luego, para encontrar las computadoras que están inactivas, ejecute:

dsquery computer -inactive

Ahora, para deshabilitar las computadoras inactivas, ejecute:

dsquery computer -inactive | dsmod computer -disabled yes

Después de deshabilitarlos, puede eliminarlos ejecutando:

dsquery computer -disabled | dsrm -noprompt

Tenga en cuenta que en lugar de deshabilitar las computadoras inactivas primero, puede eliminarlas directamente ejecutando:

dsquery computer -inactive | dsrm -noprompt

Conclusión

Este artículo es una continuación del artículo anterior sobre la integración de LDAP con Active Directory. Hay varias formas de autenticar servidores Linux contra Microsoft Active Directory, como Samba / Winbind, Centrify, etc., y hay instaladores disponibles para formatos de paquetes debian y rpm compatibles con RHEL, Ubuntu, CentOS, Debian, etc. ha sido probado en la distribución Ubuntu 14.04 LTS. Con un mínimo de ajustes, estos pasos también deberían funcionar para otras distribuciones. Las versiones anteriores y ahora obsoletas de Likewise-Open deberían funcionar de manera similar a PBIS-Open, y pueden ser necesarias en distribuciones más antiguas.

Publicaciones relacionadas

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Botón volver arriba
Cerrar