この記事では、Windows Active Directoryドメインと一緒に参加するために、Ubuntu14.04にPowerBrokerIdentity Services(PBIS)をインストールして構成します。また、dsqueryコマンドを使用してADから古いコンピューターアカウントを削除する方法についても検討します。
ダウンロードしてインストール
まず、GitHubから最新バージョンのPowerBrokerIdentityServicesをダウンロードする必要があります
また、UbuntuOSで次のコマンドを実行するだけでダウンロードできます。
wget https://github.com/BeyondTrust/pbis-open/releases/download/8.5.3/pbis- open-8.5.3.293.linux.x86.deb.sh次に、実行ビットを設定し、root権限でパッケージを実行する必要があります:
chmod +x pbis-open-8.5.3.293.linux.x86_64.deb.shsudo ./pbis-open-8.5.3.293.linux.x86_64.deb.shインストール中にいくつかの質問が表示されるので、それに応じてオプションを選択してください。インストールが完了したら、マシンをドメインに参加させます。
PBIS構成
構成を進める準備ができました。 / opt / pbis / bin /ディレクトリに移動し、domainjoin-cliコマンドを実行して、ホストをActiveDirectoryドメインに参加させてください。
cd /opt/pbis/bin/
sudo domainjoin-cli join [DomainName [DomainAccount]ここで、
DomainName-ドメインの名前
DomainAccount-ドメインアカウント(user @ domainname)
例: sudo domainjoin-clijoinexample.com管理者
プロンプトが表示されたら、ActiveDirectory管理者のパスワードを入力してください。認証が成功すると、コマンドはUbuntuコンピューターをドメインのメンバーとして追加します。このコマンドは、/ etc/hostsファイルにもエントリを追加します。
Ubuntuドメイン設定を確認するには、端末から次のコマンドを実行する必要があります。
sudo domainjoin-cli queryこのコマンドは、Ubuntuコンピューターが参加しているドメインの名前を表示します。
例:
名前=ユーザー名
ドメイン=example.com
識別名=CN=username、CN =Computers、DC =example、DC =com
注:ドメインからUbuntuコンピューターを削除する場合は、実行する必要があります
sudo domainjoin-cli leaveドメインに参加したら、sudoersグループへのアクセスをDomainAdminグループのメンバーのみに制限することが重要です。これは、グループセクションに%domain ^ admins ALL =(ALL)ALLを追加して/ etc / sudoersファイルを更新することで実現できるため、sudoersファイルセクションは次のようになります。
# Members of the admin group may gain root privileges
%admin ALL=(ALL) ALL
%domain^admins ALL=(ALL) ALL
PBISを使用する利点は、ログイン、ドメインプレフィックス、ログインシェル、フォルダー名などを複数の方法でカスタマイズできることです。ドメインユーザーのデフォルト構成を設定するには、PBISを使用してすべてのユーザーの環境を設定する必要があります。システムにログインする必要なドメインユーザー。
ターミナルを開いて、次のコマンドを実行してください:
sudo /opt/pbis/bin/config UserDomainPrefix [Domain]ドメインプレフィックスを設定
sudo /opt/pbis/bin/config AssumeDefaultDomain Trueこれを「true」に設定すると、ドメイン名を常に入力しないようにします
sudo /opt/pbis/bin/config LoginShellTemplate /bin/bashデフォルトのシェルを設定する
sudo /opt/pbis/bin/config HomeDirTemplate %H/%D/%U別のホームディレクトリを設定してから、マシンのローカルユーザーを設定します
sudo /opt/pbis/bin/config RequireMembershipOf "[Domain]\\[SecurityGroup]"特定のActiveDirectoryセキュリティグループを設定する
次のステップでは、pamd.d共通セッションファイルを編集する必要があります。ターミナルに入力してください:
sudo vi /etc/pam.d/common-session十分なセッションpam_lsass.soを示す行に移動します session [success =ok default =ignore] pam_lsass.soに置き換えます
次に、lightdm構成ファイルを編集して、次の行を追加する必要があります。
sudo vi /usr/share/lightdm/lightdm.conf.d/50-unity-greeter.confallow-guest=false
greeter-show-manual-login=trueLubuntu 14.04を使用している場合、lightdm構成ファイルは 60-lightdm-gtk-greeter.confになることに注意してください。
テストしてください!
すべてのオプションに満足したら、マシンを再起動するだけです:
rebootとログイン:
ssh [username]@[servername]PBISサービスを再起動する方法
PBISエージェントは、/ opt / pbis / sbin/lwsmdにあるサービスマネージャーlwsmdデーモンで構成されます。このデーモンには、認証、承認、キャッシング、およびldmapルックアップを処理するlsassサービスが含まれています。認証サービスはスタートアップでのみ信頼を登録するため、信頼関係を変更した後、PBISServiceManagerでlsassを再起動する必要があります。サービスを再開するには、次のコマンドを実行します。
/opt/pbis/bin/lwsm restart lsassコマンドラインを使用してPBISをアンインストールする方法
コマンドを使用してPBISをアンインストールするには、次のコマンドを実行します。
/opt/pbis/bin/uninstall.sh uninstallシステムからすべてのPBIS関連ファイルを完全に削除する場合は、パージプロセスを実行してください:
/opt/pbis/bin/uninstall.sh purgeActiveDirectoryで古いコンピュータを見つけて削除する方法
一部の組織には、ADドメインアカウントに許可できる最大の非アクティブ期間があります。したがって、そのような期間非アクティブであったアカウントは削除する必要があります。ただし、非アクティブなアカウントをすべて削除してから削除することを強くお勧めします。この記事では、コマンドプロンプトを使用します。非アクティブなアカウントの検索、およびそれらの無効化または削除は、コマンドプロンプトを使用して、 dsqueryを使用して実行できます。 指図。
基本的に、dsqueryコマンドは、指定された基準に従ってADオブジェクトを検索します(たとえば、特定の期間非アクティブなアカウント)。後で、アカウントを無効にして削除するために、検索結果をdsmodおよびdsrmコマンドへの入力として指定できます。まず、ADホストでコマンドプロンプトを開く必要があります。次に、非アクティブなコンピューターを見つけるには、次のコマンドを実行してください:
dsquery computer -inactiveここで、非アクティブなコンピューターを無効にするには、次を実行してください:
dsquery computer -inactive | dsmod computer -disabled yes次に無効にした後、次を実行してそれらを削除できます:
dsquery computer -disabled | dsrm -noprompt非アクティブなコンピュータを無効にする代わりに、次のコマンドを実行して直接削除できることに注意してください。
dsquery computer -inactive | dsrm -noprompt結論
この記事は、LDAPとActiveDirectoryの統合に関する以前の記事の続きです。 Samba / Winbind、CentrifyなどのMicrosoft Active Directoryに対してLinuxサーバーを認証する方法はいくつかあり、インストーラーはRHEL、Ubuntu、CentOS、Debianなどをサポートするdebianおよびrpmパッケージ形式の両方で利用できます。 Ubuntu14.04LTSディストリビューションでテストされています。最小限の調整で、これらの手順は他のディストリビューションでも機能するはずです。旧バージョンおよび非推奨バージョンのLikely-Openは、PBIS-Openと同様に機能するはずであり、古いディストリビューションで必要になる場合があります。