この記事では、Windows Active Directoryドメインと一緒に参加するために、Ubuntu14.04にPowerBrokerIdentity Services(PBIS)をインストールして構成します。 また、dsqueryコマンドを使用してADから古いコンピューターアカウントを削除する方法についても検討します。
ダウンロードとインストール
まず、PowerBroker IdentityServicesの最新バージョンをからダウンロードする必要があります。 GitHub
また、UbuntuOSで次のコマンドを実行するだけでダウンロードできます。
wget https://github.com/BeyondTrust/pbis-open/releases/download/8.5.3/pbis- open-8.5.3.293.linux.x86.deb.sh次に、実行ビットを設定し、root権限でパッケージを実行する必要があります。
chmod +x pbis-open-8.5.3.293.linux.x86_64.deb.shsudo ./pbis-open-8.5.3.293.linux.x86_64.deb.shインストール中にいくつかの質問が表示されるので、それに応じてオプションを選択してください。 インストールが完了したら、マシンをドメインに参加させます。
PBIS構成
構成を進める準備ができました。 / opt / pbis / bin /ディレクトリに移動し、domainjoin-cliコマンドを実行して、ホストをActiveDirectoryドメインに参加させてください。
cd /opt/pbis/bin/
sudo domainjoin-cli join [DomainName [DomainAccount]どこ、
DomainName-ドメインの名前
DomainAccount-ドメインアカウント(user @ domainname)
例: sudo domainjoin-clijoin example.com管理者
プロンプトが表示されたら、ActiveDirectory管理者のパスワードを入力してください。 認証が成功すると、コマンドはUbuntuコンピューターをドメインのメンバーとして追加します。 このコマンドは、/ etc / hostsファイルにもエントリを追加します。
Ubuntuドメイン設定を確認するには、ターミナルから次のコマンドを実行する必要があります。
sudo domainjoin-cli queryこのコマンドは、Ubuntuコンピューターが参加しているドメインの名前を表示します。
例:
名前=ユーザー名
ドメイン= example。と
識別名= CN =ユーザー名、CN =コンピューター、DC =example、DC = com
注:Ubuntuコンピューターをドメインから削除する場合は、実行する必要があります
sudo domainjoin-cli leaveドメインに参加したら、sudoersグループへのアクセスをドメイン管理者グループのメンバーのみに制限することが重要です。 これは、グループセクションに%domain ^ admins ALL =(ALL)ALLを追加して/ etc / sudoersファイルを更新することで実現できるため、sudoersファイルセクションは次のようになります。
# Members of the admin group may gain root privileges
%admin ALL=(ALL) ALL
%domain^admins ALL=(ALL) ALLPBISを使用する利点は、ログイン、ドメインプレフィックス、ログインシェル、フォルダー名などを複数の方法でカスタマイズできることです。ドメインユーザーのデフォルト構成を設定するには、PBISを使用してすべてのユーザーの環境を設定する必要があります。システムにログインする必要なドメインユーザー。
ターミナルを開いて、次のコマンドを実行してください。
sudo /opt/pbis/bin/config UserDomainPrefix [Domain]ドメインプレフィックスを設定する
sudo /opt/pbis/bin/config AssumeDefaultDomain Trueこれを「true」に設定して、ドメイン名を常に入力しないようにします
sudo /opt/pbis/bin/config LoginShellTemplate /bin/bashデフォルトのシェルを設定する
sudo /opt/pbis/bin/config HomeDirTemplate %H/%D/%U別のホームディレクトリを設定してから、マシンのローカルユーザーを設定します
sudo /opt/pbis/bin/config RequireMembershipOf "[Domain][SecurityGroup]"特定のActiveDirectoryセキュリティグループを設定する
次のステップでは、pamd.d共通セッションファイルを編集する必要があります。 ターミナルに入力してください:
sudo vi /etc/pam.d/common-session記載されている行に移動します 十分なセッションpam_lsass.so と置き換えます セッション [success=ok default=ignore] pam_lsass.so
次に、lightdm構成ファイルを編集して、次の行を追加する必要があります。
sudo vi /usr/share/lightdm/lightdm.conf.d/50-unity-greeter.confallow-guest=false
greeter-show-manual-login=trueLubuntu 14.04を使用している場合、lightdm構成ファイルは次のようになることに注意してください。 60-lightdm-gtk-greeter.conf
試して!
すべてのオプションに満足したら、マシンを再起動するだけです。
rebootとログイン:
ssh [username]@[servername]PBISサービスを再起動する方法
PBISエージェントは、/ opt / pbis / sbin / lwsmdにあるサービスマネージャーlwsmdデーモンで構成されます。 このデーモンには、認証、承認、キャッシング、およびldmapルックアップを処理するlsassサービスが含まれています。 認証サービスはスタートアップでのみ信頼を登録するため、信頼関係を変更した後、PBISサービスマネージャでlsassを再起動する必要があります。 サービスを再起動するには、次のコマンドを実行します。
/opt/pbis/bin/lwsm restart lsassコマンドラインを使用してPBISをアンインストールする方法
コマンドを使用してPBISをアンインストールするには、次のコマンドを実行します。
/opt/pbis/bin/uninstall.sh uninstallシステムからすべてのPBIS関連ファイルを完全に削除する場合は、パージプロセスを実行してください。
/opt/pbis/bin/uninstall.sh purgeActiveDirectoryで古いコンピューターを見つけて削除する方法
一部の組織には、ADドメインアカウントに許可できる最大の非アクティブ期間があります。 したがって、そのような期間非アクティブであったアカウントは削除する必要があります。 ただし、非アクティブなアカウントをすべて削除してから削除することを強くお勧めします。 この記事では、コマンドプロンプトを使用します。 非アクティブなアカウントの検索、およびそれらの無効化または削除は、コマンドプロンプトを使用して、次のコマンドを使用して実行できます。 dsquery 指図。
基本的に、dsqueryコマンドは、指定された基準に従ってADオブジェクトを検索します(たとえば、特定の期間非アクティブなアカウント)。 後で、アカウントを無効にして削除するために、検索結果をdsmodおよびdsrmコマンドへの入力として指定できます。 まず、ADホストでコマンドプロンプトを開く必要があります。 次に、非アクティブなコンピューターを見つけるには、次のコマンドを実行してください。
dsquery computer -inactiveここで、非アクティブなコンピューターを無効にするには、次のコマンドを実行してください。
dsquery computer -inactive | dsmod computer -disabled yes次に無効にした後、次のコマンドを実行してそれらを削除できます。
dsquery computer -disabled | dsrm -noprompt非アクティブなコンピューターを無効にする代わりに、次のコマンドを実行して直接削除できることに注意してください。
dsquery computer -inactive | dsrm -noprompt結論
この記事は、LDAPとActiveDirectoryの統合に関する以前の記事の続きです。 Samba / Winbind、CentrifyなどのMicrosoft Active Directoryに対してLinuxサーバーを認証する方法はいくつかあり、インストーラーはRHEL、Ubuntu、CentOS、Debianなどをサポートするdebianおよびrpmパッケージ形式の両方で利用できます。 Ubuntu 14.04LTSディストリビューションでテストされています。 最小限の調整で、これらの手順は他のディストリビューションでも機能するはずです。 旧バージョンおよび非推奨バージョンのLikely-Openは、PBIS-Openと同様に機能するはずであり、古いディストリビューションで必要になる場合があります。
