podobnie otwarty | 14,04 | inny łatwy sposób na połączenie AD?

16

używamy wielu serwerów Linux z członkostwem w active directory do uwierzytelniania użytkowników. Są one tworzone z podobnie otwartego pakietu. Przetestowaliśmy wersję beta Ubuntu Server 14.04 LTS. Wszystko działa dobrze po minucie (instalacja, przyłączenie do domeny, import rejestru, edycja sudoers, gotowe). Teraz, z wersji beta do wersji produkcyjnej, podobnie otwarta jest usuwana z repozytorium.

Czy istnieje równoważny łatwy sposób na przyłączanie się do domeny AD i zarządzanie logowaniem w oparciu o grupę (AD-) (bez ręcznej instalacji i edycji plików konfiguracyjnych dla samby, winbind, nsswitch, pam itp.)?

wielkie dzięki Silvio

użytkownik272446
źródło

Odpowiedzi:

16

Używanie Powerbrokera zamiast podobnie

wykonaj poniższe czynności

1- pobierz powerbroker stąd tutaj http://download1.beyondtrust.com/Technical-Support/Downloads/PowerBroker-Identity-Services-Open-Edition/?Pass=True

2- uruchom to,

sudo chmod a+x

uruchom, wpisując go i naciskając klawisz Enter

 sudo ./pibsfilename.sh

3 - dołącz jedną z poniższych komend

 sudo domainjoin-cli join domainname.com [email protected]

lub

 sudo domainjoin-cli join --disable ssh domainname.com [email protected]

4 - Należy również pamiętać, że może być konieczne wprowadzenie jednej drobnej zmiany w pliku konfiguracyjnym, jak wspomniano tutaj. Mianowicie w pliku /etc/pam.d/common-sessionzmień wiersz o treści:

   session sufficient pam_lsass.so

do

   session [success=ok default=ignore] pam_lsass.so

5- uruchom to polecenie, aby skonfigurować, podobnie jak lwconfig w podobny sposób (uruchom z folderu domowego), użyj karetki ^dla spacji w nazwach grup

   /opt/pbis/bin/config Requiremembershipof "domainname\\ASecurityGroupFromYourDomain" "domainname\\plus^other^group"
   /opt/pbis/bin/config AssumeDefaultDomain true
   /opt/pbis/bin/config UserDomainPrefix domainname

6-, jeśli chcesz, aby nazwa użytkownika była sudoer, wykonaj następujące czynności

 sudo nano /etc/sudoers

po linii głównej dodaj linię poniżej

 username ALL=(ALL:ALL) ALL

do użytku grupowego %:

 %DOMAINNAME\\Power^Users ALL=(ALL:ALL) ALL

7- i na koniec edytuj plik konfiguracyjny lightdm

   sudo nano /usr/share/lightdm/lightdm.conf.d/50-unity-greeter.conf

   allow-guest=false
   greeter-show-remote-login=false
   greeter-show-manual-login=true

( 60-lightdm-gtk-greeter.confw Lubuntu 14.04)

8 - Uruchom ponownie

Wykorzystane zasoby:

użytkownik273175
źródło
Wielkie dzięki. Dla mnie uruchomię z „realmd” - uwierzytelnianiem sieci, które używa „sssd” do uwierzytelnienia.
user272446
„disbale” powinno być prawdopodobnie „wyłączone”, tak?
matt wilkie
Dla mnie uzupełnianie tabulatorów w powłokach terminali jest przerwane dla użytkownika AD; od tutaj , myślę, że sudo /opt/pbis/bin/config LoginShellTemplate /bin/bashmoże ustalić, że (tylko dla nowych użytkowników?). Jest też notatka, którą 50-unity-greeter.confnależy edytować zamiast dla Lubuntu 14.04.
matt wilkie
8

Po prostu został przemianowany i usunięty z oficjalnych repozytoriów. Jest teraz znany jako BeyondTrust PowerBroker Identity Services, Open Edition (nie tak chwytliwy, wiem) i można go znaleźć tutaj .

Należy również pamiętać, że może być konieczne wprowadzenie jednej drobnej zmiany w pliku konfiguracyjnym, jak wspomniano tutaj . Mianowicie w pliku /etc/pam.d/common-sessionzmień wiersz o treści:

session sufficient pam_lsass.so

do

session [success=ok default=ignore] pam_lsass.so

Znalazłem te informacje po DUŻO Googlingu i wyciągania włosów. Mam nadzieję że to pomoże.

marcski55
źródło
Na wypadek, gdyby ktoś szukał raportu o błędzie, jest tutaj , z taką samą poprawką jak twoja odpowiedź. Ktoś wspomniał, że powiadomi o tym PowerBroker, ale najwyraźniej nie naprawili jeszcze PBIS.
Bart
1

Drugim (aw IMHO bardziej dojrzałym i stabilnym) rozwiązaniem jest Centrify Express.

Kroki, w jaki sposób zainstalować Centrify Express (i dlaczego ludzie przestawili się na Centrify) można znaleźć na stronie

http://www.question-defense.com/2012/08/31/dpkg-error-processing-likewise-open-configure-join-linux-server-to-windows-domain-controller

http://ninjix.blogspot.com/2011/01/puppet-module-for-centrify-express.html

użytkownik273207
źródło
Witamy w Ask Ubuntu! Chociaż teoretycznie może to odpowiedzieć na pytanie, lepiej byłoby zawrzeć tutaj istotne części odpowiedzi i podać odnośnik.
guntbert
1

Wielkie dzięki. Dla mnie (zamiast korzystać z PBIS (usługa identyfikacji powerbrokera)) będę działać z „realmd - uwierzytelnianie sieci”, które używają „sssd”. Ta instalacja i konfiguracja wszystkich składników (Kerberos i sssd-config) dla mnie (SSSD = System Security Services Daemon). Jedyne, co należy zrobić, to dołączyć do domeny (patrz dziedzina --help) i ręcznie skonfigurować pam (w /etc/pam.d/common-session; dodać „wymagana sesja pam_mkhomedir.so umask = 077) w celu automatycznego tworzenia katalogów domowych i ewentualnie zmodyfikuj plik sudoers dla użytkowników reklam. Spójrz na to, myślę, że jest to łatwy alternatywny sposób na integrację AD i wychodzi on z pudełka i używa standardów.

użytkownik272446
źródło
0

Mam nadzieję, że szukałeś innych opcji, ponieważ sudo apt-get install likewise-opennie działało, wykonaj te kroki, aby zainstalować podobnie w 14.04, To zadziałało dla mnie.

wget http://de.archive.ubuntu.com/ubuntu/pool/main/l/likewise-open/likewise-open_6.1.0.406-0ubuntu10_i386.deb
wget http://de.archive.ubuntu.com/ubuntu/pool/main/libg/libglade2/libglade2-0_2.6.4-1ubuntu3_i386.deb
wget http://de.archive.ubuntu.com/ubuntu/pool/universe/l/likewise-open/likewise-open-gui_6.1.0.406-0ubuntu10_i386.deb
sudo dpkg -i likewise-open_6.1.0.406-0ubuntu10_i386.deb
sudo dpkg -i libglade2-0_2.6.4-1ubuntu3_i386.deb
sudo dpkg -i likewise-open-gui_6.1.0.406-0ubuntu10_i386.deb
sudo domainjoin-cli join domain_name admin_username

poprosi o hasło administratora i jesteś w.

Mam nadzieję, że to pomoże.

Daniel
źródło
0

Piszę krótkie howto na temat instalacji usług PowerBroker Identity Services na serwerze Ubuntu 14.04 lts. Używam do logowania jednokrotnego usługi Apache przez AD i klienta Windows 7. W języku francuskim, ale wiersz poleceń jest napisany w powłoce: o): http://www.cymea.net/sso-apache2-active-direcotry-powerbroker-identity-services/

Niezła lektura

wget http://download.beyondtrust.com/PBISO/8.0.0.2016/linux.deb.x64/pbis-open-8.0.0.2016.linux.x86_64.deb.sh
chmod +x pbis-open-8.0.0.2016.linux.x86_64.deb.sh
./pbis-open-8.0.0.2016.linux.x86_64.deb.sh
domainjoin-cli join TEST.LAN administrateur

Joining to AD Domain:   TEST.LAN
With Computer DNS Name: chronos.TEST.LAN
[email protected]'s password:
...
Your system has been configured to authenticate to Active Directory for the first time.  It is recommended that you restart your system to ensure that all applications recognize the new settings.
SUCCESS
fdevil
źródło