GNU/Linux >> Tutoriels Linux >  >> Ubuntu

Configurer PBIS pour joindre Ubuntu au domaine Windows

Dans cet article, nous allons installer et configurer PowerBroker Identity Services (PBIS) sur Ubuntu 14.04 afin de nous joindre au domaine Windows Active Directory. Nous verrons également comment supprimer un compte d'ordinateur obsolète d'AD à l'aide de la commande dsquery.

Télécharger et installer

Pour commencer, nous devons télécharger la dernière version de PowerBroker Identity Services depuis GitHub

Vous pouvez également le télécharger en exécutant simplement la commande suivante sur le système d'exploitation Ubuntu :

wget https://github.com/BeyondTrust/pbis-open/releases/download/8.5.3/pbis- open-8.5.3.293.linux.x86.deb.sh

Maintenant, vous devez définir le bit d'exécution et exécuter le package avec les privilèges root :

chmod +x pbis-open-8.5.3.293.linux.x86_64.deb.sh
sudo ./pbis-open-8.5.3.293.linux.x86_64.deb.sh

Il posera quelques questions lors de l'installation, alors choisissez les options en conséquence. Une fois l'installation terminée, il est temps de joindre la machine au domaine.

Configuration PBIS

Nous sommes prêts à procéder à la configuration. Veuillez accéder au répertoire /opt/pbis/bin/ et exécuter la commande domainjoin-cli pour joindre un hôte à un domaine Active Directory.

cd /opt/pbis/bin/
sudo domainjoin-cli join [DomainName [DomainAccount]

où,

DomainName - le nom de votre domaine
DomainAccount - votre compte de domaine (user@domainname)

Exemple : sudo domainjoin-cli join example.com administrateur

Lorsque vous y êtes invité, veuillez fournir le mot de passe de l'administrateur Active Directory. Une fois l'authentification réussie, la commande ajoute votre ordinateur Ubuntu en tant que membre du domaine. La commande ajoute également des entrées dans le fichier /etc/hosts.
Pour vérifier le paramètre de domaine Ubuntu, vous devez exécuter la commande suivante depuis votre terminal :

sudo domainjoin-cli query

La commande affichera le nom du domaine auquel votre ordinateur Ubuntu s'est joint.

Exemple :

Nom =nom d'utilisateur
Domaine =exemple.com
Nom distinctif =CN=nom d'utilisateur,CN=Ordinateurs,DC=exemple,DC=com

Remarque :Si vous souhaitez supprimer votre ordinateur Ubuntu du domaine, vous devez exécuter

sudo domainjoin-cli leave

Une fois joint au domaine, il est important de restreindre l'accès au groupe sudoers aux membres du groupe Admin du domaine uniquement. Cela peut être accompli en mettant à jour le fichier /etc/sudoers en ajoutant %domain^admins ALL=(ALL) ALL dans la section group afin que la section du fichier sudoers ressemble à ceci :

# Members of the admin group may gain root privileges
%admin ALL=(ALL) ALL
%domain^admins ALL=(ALL) ALL

La bonne chose à propos de l'utilisation de PBIS est qu'il permet de personnaliser de plusieurs façons la connexion, le préfixe de domaine, le shell de connexion, le nom du dossier, etc. Afin de configurer la configuration par défaut pour les utilisateurs du domaine, vous devez utiliser PBIS pour définir l'environnement pour tous les utilisateurs de domaine requis qui seront connectés au système.
Veuillez ouvrir le terminal et exécuter les commandes suivantes :

sudo /opt/pbis/bin/config UserDomainPrefix [Domain]

Définir le préfixe de domaine

sudo /opt/pbis/bin/config AssumeDefaultDomain True

Définissez ceci sur 'true' pour éviter d'entrer des noms de domaine tout le temps

sudo /opt/pbis/bin/config LoginShellTemplate /bin/bash

Définir le shell par défaut

sudo /opt/pbis/bin/config HomeDirTemplate %H/%D/%U

Définissez un répertoire personnel différent, puis les utilisateurs locaux sur la machine

sudo /opt/pbis/bin/config RequireMembershipOf "[Domain]\\[SecurityGroup]"

Définir des groupes de sécurité Active Directory spécifiques

Prochaine étape, vous devez éditer le fichier de session commune pamd.d. Veuillez taper dans le terminal :

sudo vi /etc/pam.d/common-session

Accédez à la ligne indiquant session suffisante pam_lsass.so et remplacez-le par session [success=ok default=ignore] pam_lsass.so

Ensuite, nous devons éditer le fichier de configuration lightdm et ajouter les lignes suivantes :

sudo vi /usr/share/lightdm/lightdm.conf.d/50-unity-greeter.conf
allow-guest=false
greeter-show-manual-login=true

Veuillez noter que si vous utilisez Lubuntu 14.04, votre fichier de configuration lightdm sera 60-lightdm-gtk-greeter.conf

Testez-le !

Une fois satisfait de toutes les options, redémarrez simplement la machine :

reboot

et connectez-vous :

ssh [username]@[servername]

Comment redémarrer le service PBIS

Les agents PBIS sont composés du démon lwsmd du gestionnaire de services, qui se trouve dans /opt/pbis/sbin/lwsmd. Ce démon inclut le service lsass, qui gère l'authentification, l'autorisation, la mise en cache et les recherches ldmap. Étant donné que le service d'authentification enregistre les approbations uniquement au démarrage, vous devez redémarrer lsass avec le gestionnaire de services PBIS après avoir modifié une relation d'approbation. Pour redémarrer le service, exécutez simplement :

/opt/pbis/bin/lwsm restart lsass

Comment désinstaller PBIS à l'aide d'une ligne de commande

Pour désinstaller PBIS à l'aide d'une commande, exécutez la commande suivante :

/opt/pbis/bin/uninstall.sh uninstall

Si vous souhaitez supprimer complètement tous les fichiers liés au PBIS de votre système, veuillez exécuter le processus de purge :

/opt/pbis/bin/uninstall.sh purge

Comment rechercher et supprimer des ordinateurs obsolètes dans Active Directory

Certaines organisations ont leur période d'inactivité maximale qui peut être autorisée pour les comptes de domaine AD. Ainsi, les comptes inactifs pendant une telle période doivent être supprimés. Mais il est fortement recommandé de découvrir d'abord tous les comptes inactifs avant de les supprimer. Dans notre article, nous utiliserons l'invite de commande. La recherche de comptes inactifs et leur désactivation ou suppression peuvent être effectuées à l'aide de l'invite de commande, en utilisant dsquery commande.
Fondamentalement, la commande dsquery recherche les objets AD en fonction des critères spécifiés (par exemple, compte inactif pendant une période spécifique). Plus tard, les résultats de la recherche peuvent être donnés en entrée aux commandes dsmod et dsrm afin de désactiver et de supprimer des comptes. Pour commencer, vous devez ouvrir l'invite de commande sur l'hôte AD. Ensuite, pour trouver les ordinateurs inactifs, veuillez exécuter :

dsquery computer -inactive

Maintenant, pour désactiver les ordinateurs inactifs, veuillez exécuter :

dsquery computer -inactive | dsmod computer -disabled yes

Après les avoir désactivés, vous êtes autorisé à les supprimer en exécutant :

dsquery computer -disabled | dsrm -noprompt

Veuillez noter qu'au lieu de désactiver d'abord les ordinateurs inactifs, vous pouvez les supprimer directement en exécutant :

dsquery computer -inactive | dsrm -noprompt

Conclusion

Cet article est la suite de l'article précédent sur l'intégration de LDAP à Active Directory. Il existe plusieurs façons d'authentifier les serveurs Linux par rapport à Microsoft Active Directory, tels que Samba/Winbind, Centrify, etc. et les programmes d'installation sont disponibles pour les formats de paquet debian et rpm prenant en charge RHEL, Ubuntu, CentOS, Debian, etc. Néanmoins, les instructions fournies n'ont que été testé sur Ubuntu 14.04 LTS Distribution. Avec un minimum de modifications, ces étapes devraient également fonctionner pour d'autres distributions. Les versions plus anciennes et désormais obsolètes de Like-Open devraient fonctionner de la même manière que PBIS-Open, et peuvent être requises sur les anciennes distributions.


Ubuntu

  1. Comment installer et configurer Nginx sur Ubuntu 20.04

  2. Configurer sudo sans mot de passe sur Ubuntu 20.04 Focal Fossa Linux

  3. Installez Nginx et configurez l'hôte virtuel dans Ubuntu 20.04

  4. Comment installer et configurer Varnish sur Ubuntu 20.04 ?

  5. Ubuntu - Configurer Sssd (sudo et Dyndns_update) avec Realmd ?

Comment installer et configurer GitLab CE sur Ubuntu 18.04 LTS

Comment installer et configurer DNS sur Ubuntu

Comment installer et configurer Kubernetes sur Ubuntu

Installer et configurer le journal avec Graylog dans Ubuntu 20.04

Comment installer et configurer le pare-feu UFW sur Ubuntu 20.04

Comment installer et configurer Memcached sur Ubuntu