En este artículo, instalaremos y configuraremos PowerBroker Identity Services (PBIS) en Ubuntu 14.04 para unirnos con Windows Active Directory Domain. También consideraremos cómo eliminar una cuenta de computadora obsoleta de AD usando el comando dsquery.
Descargar e instalar
Para empezar, necesitamos descargar la última versión de PowerBroker Identity Services de GitHub
Además, puede descargarlo simplemente ejecutando el siguiente comando en el sistema operativo Ubuntu:
wget https://github.com/BeyondTrust/pbis-open/releases/download/8.5.3/pbis- open-8.5.3.293.linux.x86.deb.shAhora, necesita establecer el bit de ejecución y ejecutar el paquete con privilegios de root:
chmod +x pbis-open-8.5.3.293.linux.x86_64.deb.shsudo ./pbis-open-8.5.3.293.linux.x86_64.deb.shHará un par de preguntas durante la instalación, así que elija las opciones en consecuencia. Una vez finalizada la instalación, es hora de unir la máquina al dominio.
Configuración PBIS
Estamos listos para continuar con la configuración. Navegue al directorio / opt / pbis / bin / y ejecute el comando domainjoin-cli para unir un host a un dominio de Active Directory.
cd /opt/pbis/bin/
sudo domainjoin-cli join [DomainName [DomainAccount]donde,
DomainName: el nombre de su dominio
DomainAccount: su cuenta de dominio (usuario @ nombre de dominio)
Ejemplo: sudo dominiojoin-cli unirse exampleadministrador de .com
Cuando se le solicite, proporcione la contraseña del administrador de Active Directory. En la autenticación exitosa, el comando agrega su computadora Ubuntu como miembro del dominio. El comando también agrega entradas en el archivo / etc / hosts.
Para verificar la configuración del dominio de Ubuntu, debe ejecutar el siguiente comando desde su terminal:
sudo domainjoin-cli queryEl comando mostrará el nombre del dominio al que se ha unido su computadora Ubuntu.
Ejemplo:
Nombre = nombre de usuario
Dominio = example.con
Nombre distinguido = CN = nombre de usuario, CN = Computadoras, DC =example, DC = com
Nota: Si desea eliminar su computadora Ubuntu del dominio, debe ejecutar
sudo domainjoin-cli leaveUna vez que se haya unido al dominio, lo importante que debe hacer es restringir el acceso al grupo de sudoers solo a los miembros del grupo Administrador del dominio. Esto se puede lograr actualizando el archivo / etc / sudoers agregando% domain ^ admins ALL = (ALL) ALL en la sección del grupo para que la sección del archivo sudoers tenga el siguiente aspecto:
# Members of the admin group may gain root privileges
%admin ALL=(ALL) ALL
%domain^admins ALL=(ALL) ALLLo bueno de usar PBIS es que permite múltiples formas de personalizar el inicio de sesión, el prefijo de dominio, el shell de inicio de sesión, el nombre de la carpeta, etc. Para establecer la configuración predeterminada para los usuarios del dominio, debe usar PBIS para configurar el entorno para todos los usuarios de dominio requeridos que se registrarán en el sistema.
Abra la terminal y ejecute los siguientes comandos:
sudo /opt/pbis/bin/config UserDomainPrefix [Domain]Establecer prefijo de dominio
sudo /opt/pbis/bin/config AssumeDefaultDomain TrueEstablezca esto en ‘verdadero’ para evitar ingresar nombres de dominio todo el tiempo
sudo /opt/pbis/bin/config LoginShellTemplate /bin/bashEstablecer shell predeterminado
sudo /opt/pbis/bin/config HomeDirTemplate %H/%D/%UEstablezca un directorio de inicio diferente y luego los usuarios locales en la máquina
sudo /opt/pbis/bin/config RequireMembershipOf "[Domain][SecurityGroup]"Establecer grupos de seguridad de Active Directory específicos
El siguiente paso es editar el archivo de sesión común pamd.d. Por favor escriba terminal:
sudo vi /etc/pam.d/common-sessionNavega hasta la línea que dice sesión suficiente pam_lsass.so y reemplazarlo con sesión [success=ok default=ignore] pam_lsass.so
Luego, necesitamos editar el archivo de configuración lightdm y agregar las siguientes líneas:
sudo vi /usr/share/lightdm/lightdm.conf.d/50-unity-greeter.confallow-guest=false
greeter-show-manual-login=trueTenga en cuenta que si está utilizando Lubuntu 14.04, su archivo de configuración lightdm será 60-lightdm-gtk-greeter.conf
¡Pruébalo!
Una vez que esté satisfecho con todas las opciones, simplemente reinicie la máquina:
reboote iniciar sesión:
ssh [username]@[servername]Cómo reiniciar el servicio PBIS
Los agentes PBIS están compuestos por el demonio lwsmd del administrador de servicios, que se encuentra en / opt / pbis / sbin / lwsmd. Este demonio incluye el servicio lsass, que maneja la autenticación, autorización, almacenamiento en caché y búsquedas de ldmap. Debido a que el servicio de autenticación registra confianzas solo en los inicios, debe reiniciar lsass con PBIS Service Manager después de modificar una relación de confianza. Para reiniciar el servicio, simplemente ejecute:
/opt/pbis/bin/lwsm restart lsassCómo desinstalar PBIS usando una línea de comando
Para desinstalar PBIS usando un comando, ejecute el siguiente comando:
/opt/pbis/bin/uninstall.sh uninstallSi desea eliminar por completo todos los archivos relacionados con PBIS de su sistema, ejecute el proceso de purga:
/opt/pbis/bin/uninstall.sh purgeCómo encontrar y eliminar computadoras obsoletas en Active Directory
Algunas organizaciones tienen su período máximo de inactividad que se puede permitir para las cuentas de dominio de AD. Por lo tanto, las cuentas que estuvieron inactivas durante ese período de tiempo deben eliminarse. Pero es muy recomendable que primero averigüe todas las cuentas inactivas antes de eliminarlas. En nuestro artículo, usaremos el símbolo del sistema. Encontrar cuentas inactivas y deshabilitarlas o eliminarlas se puede realizar usando el símbolo del sistema, usando dsquery mando.
Básicamente, el comando dsquery busca objetos AD según los criterios especificados (por ejemplo, cuenta inactiva durante un período de tiempo específico). Más adelante, los resultados de la búsqueda se pueden proporcionar como entrada a los comandos dsmod y dsrm para deshabilitar y eliminar cuentas. Para empezar, debe abrir el símbolo del sistema en el host de AD. Luego, para encontrar las computadoras que están inactivas, ejecute:
dsquery computer -inactiveAhora, para deshabilitar computadoras inactivas, ejecute:
dsquery computer -inactive | dsmod computer -disabled yesDespués de deshabilitarlos, puede eliminarlos ejecutando:
dsquery computer -disabled | dsrm -nopromptTenga en cuenta que, en lugar de desactivar las computadoras inactivas por primera vez, puede eliminarlas directamente ejecutando:
dsquery computer -inactive | dsrm -nopromptConclusión
Este artículo es una continuación del artículo anterior sobre la integración de LDAP con Active Directory. Hay varias formas de autenticar servidores Linux contra Microsoft Active Directory como Samba / Winbind, Centrify, etc. y hay instaladores disponibles para formatos de paquetes debian y rpm compatibles con RHEL, Ubuntu, CentOS, Debian, etc. ha sido probado en la distribución Ubuntu 14.04 LTS. Con un mínimo de ajustes, estos pasos también deberían funcionar para otras distribuciones. Las versiones anteriores y ahora obsoletas de Likewise-Open deberían funcionar de manera similar a PBIS-Open, y pueden ser necesarias en distribuciones más antiguas.
