
Dans cet article, nous allons installer et configurer PowerBroker Identity Services (PBIS) sur Ubuntu 14.04 afin de nous joindre au domaine Windows Active Directory. Nous verrons également comment supprimer un compte d'ordinateur obsolète d'AD à l'aide de la commande dsquery.
Télécharger et installer
Pour commencer, nous devons télécharger la dernière version de PowerBroker Identity Services depuis GitHub
Vous pouvez également le télécharger en exécutant simplement la commande suivante sur le système d'exploitation Ubuntu :
wget https://github.com/BeyondTrust/pbis-open/releases/download/8.5.3/pbis- open-8.5.3.293.linux.x86.deb.sh
Maintenant, vous devez définir le bit d'exécution et exécuter le package avec les privilèges root :
chmod +x pbis-open-8.5.3.293.linux.x86_64.deb.sh
sudo ./pbis-open-8.5.3.293.linux.x86_64.deb.sh
Il posera quelques questions lors de l'installation, alors choisissez les options en conséquence. Une fois l'installation terminée, il est temps de joindre la machine au domaine.
Configuration PBIS
Nous sommes prêts à procéder à la configuration. Veuillez accéder au répertoire /opt/pbis/bin/ et exécuter la commande domainjoin-cli pour joindre un hôte à un domaine Active Directory.
cd /opt/pbis/bin/
sudo domainjoin-cli join [DomainName [DomainAccount]
où,
DomainName - le nom de votre domaine
DomainAccount - votre compte de domaine (user@domainname)
Exemple : sudo domainjoin-cli join example.com administrateur
Lorsque vous y êtes invité, veuillez fournir le mot de passe de l'administrateur Active Directory. Une fois l'authentification réussie, la commande ajoute votre ordinateur Ubuntu en tant que membre du domaine. La commande ajoute également des entrées dans le fichier /etc/hosts.
Pour vérifier le paramètre de domaine Ubuntu, vous devez exécuter la commande suivante depuis votre terminal :
sudo domainjoin-cli query
La commande affichera le nom du domaine auquel votre ordinateur Ubuntu s'est joint.
Exemple :
Nom =nom d'utilisateur
Domaine =exemple.com
Nom distinctif =CN=nom d'utilisateur,CN=Ordinateurs,DC=exemple,DC=com
Remarque :Si vous souhaitez supprimer votre ordinateur Ubuntu du domaine, vous devez exécuter
sudo domainjoin-cli leave
Une fois joint au domaine, il est important de restreindre l'accès au groupe sudoers aux membres du groupe Admin du domaine uniquement. Cela peut être accompli en mettant à jour le fichier /etc/sudoers en ajoutant %domain^admins ALL=(ALL) ALL dans la section group afin que la section du fichier sudoers ressemble à ceci :
# Members of the admin group may gain root privileges
%admin ALL=(ALL) ALL
%domain^admins ALL=(ALL) ALL
La bonne chose à propos de l'utilisation de PBIS est qu'il permet de personnaliser de plusieurs façons la connexion, le préfixe de domaine, le shell de connexion, le nom du dossier, etc. Afin de configurer la configuration par défaut pour les utilisateurs du domaine, vous devez utiliser PBIS pour définir l'environnement pour tous les utilisateurs de domaine requis qui seront connectés au système.
Veuillez ouvrir le terminal et exécuter les commandes suivantes :
sudo /opt/pbis/bin/config UserDomainPrefix [Domain]
Définir le préfixe de domaine
sudo /opt/pbis/bin/config AssumeDefaultDomain True
Définissez ceci sur 'true' pour éviter d'entrer des noms de domaine tout le temps
sudo /opt/pbis/bin/config LoginShellTemplate /bin/bash
Définir le shell par défaut
sudo /opt/pbis/bin/config HomeDirTemplate %H/%D/%U
Définissez un répertoire personnel différent, puis les utilisateurs locaux sur la machine
sudo /opt/pbis/bin/config RequireMembershipOf "[Domain]\\[SecurityGroup]"
Définir des groupes de sécurité Active Directory spécifiques
Prochaine étape, vous devez éditer le fichier de session commune pamd.d. Veuillez taper dans le terminal :
sudo vi /etc/pam.d/common-session
Accédez à la ligne indiquant session suffisante pam_lsass.so et remplacez-le par session [success=ok default=ignore] pam_lsass.so
Ensuite, nous devons éditer le fichier de configuration lightdm et ajouter les lignes suivantes :
sudo vi /usr/share/lightdm/lightdm.conf.d/50-unity-greeter.conf
allow-guest=false
greeter-show-manual-login=true
Veuillez noter que si vous utilisez Lubuntu 14.04, votre fichier de configuration lightdm sera 60-lightdm-gtk-greeter.conf
Testez-le !
Une fois satisfait de toutes les options, redémarrez simplement la machine :
reboot
et connectez-vous :
ssh [username]@[servername]
Comment redémarrer le service PBIS
Les agents PBIS sont composés du démon lwsmd du gestionnaire de services, qui se trouve dans /opt/pbis/sbin/lwsmd. Ce démon inclut le service lsass, qui gère l'authentification, l'autorisation, la mise en cache et les recherches ldmap. Étant donné que le service d'authentification enregistre les approbations uniquement au démarrage, vous devez redémarrer lsass avec le gestionnaire de services PBIS après avoir modifié une relation d'approbation. Pour redémarrer le service, exécutez simplement :
/opt/pbis/bin/lwsm restart lsass
Comment désinstaller PBIS à l'aide d'une ligne de commande
Pour désinstaller PBIS à l'aide d'une commande, exécutez la commande suivante :
/opt/pbis/bin/uninstall.sh uninstall
Si vous souhaitez supprimer complètement tous les fichiers liés au PBIS de votre système, veuillez exécuter le processus de purge :
/opt/pbis/bin/uninstall.sh purge
Comment rechercher et supprimer des ordinateurs obsolètes dans Active Directory
Certaines organisations ont leur période d'inactivité maximale qui peut être autorisée pour les comptes de domaine AD. Ainsi, les comptes inactifs pendant une telle période doivent être supprimés. Mais il est fortement recommandé de découvrir d'abord tous les comptes inactifs avant de les supprimer. Dans notre article, nous utiliserons l'invite de commande. La recherche de comptes inactifs et leur désactivation ou suppression peuvent être effectuées à l'aide de l'invite de commande, en utilisant dsquery commande.
Fondamentalement, la commande dsquery recherche les objets AD en fonction des critères spécifiés (par exemple, compte inactif pendant une période spécifique). Plus tard, les résultats de la recherche peuvent être donnés en entrée aux commandes dsmod et dsrm afin de désactiver et de supprimer des comptes. Pour commencer, vous devez ouvrir l'invite de commande sur l'hôte AD. Ensuite, pour trouver les ordinateurs inactifs, veuillez exécuter :
dsquery computer -inactive
Maintenant, pour désactiver les ordinateurs inactifs, veuillez exécuter :
dsquery computer -inactive | dsmod computer -disabled yes
Après les avoir désactivés, vous êtes autorisé à les supprimer en exécutant :
dsquery computer -disabled | dsrm -noprompt
Veuillez noter qu'au lieu de désactiver d'abord les ordinateurs inactifs, vous pouvez les supprimer directement en exécutant :
dsquery computer -inactive | dsrm -noprompt
Conclusion
Cet article est la suite de l'article précédent sur l'intégration de LDAP à Active Directory. Il existe plusieurs façons d'authentifier les serveurs Linux par rapport à Microsoft Active Directory, tels que Samba/Winbind, Centrify, etc. et les programmes d'installation sont disponibles pour les formats de paquet debian et rpm prenant en charge RHEL, Ubuntu, CentOS, Debian, etc. Néanmoins, les instructions fournies n'ont que été testé sur Ubuntu 14.04 LTS Distribution. Avec un minimum de modifications, ces étapes devraient également fonctionner pour d'autres distributions. Les versions plus anciennes et désormais obsolètes de Like-Open devraient fonctionner de la même manière que PBIS-Open, et peuvent être requises sur les anciennes distributions.