igualmente aberto | 14.04 outra maneira fácil de conectar o AD?

16

usamos muitos servidores Linux com associação ao diretório ativo para autenticação do usuário. Isso é feito com o pacote igualmente aberto. Testamos a versão beta do ubuntu Server 14.04 LTS. Tudo funciona bem após um minuto (instalar, ingressar no domínio, importar registro, editar sudoers, pronto). Agora, do beta para o release de produção da mesma forma, open é removido do repositório.

Existe alguma maneira fácil equivalente para ingresso no domínio do AD e gerenciamento de login baseado em grupo (AD-) (sem instalar e editar manualmente os arquivos de configuração para samba, winbind, nsswitch, pam, etc ..?

muito obrigado Silvio

user272446
fonte

Respostas:

16

Usando o Powerbroker em vez de o mesmo

faça os passos abaixo

1- baixe o powerbroker aqui http://download1.beyondtrust.com/Technical-Support/Downloads/PowerBroker-Identity-Services-Open-Edition/?Pass=True

2- execute,

sudo chmod a+x

execute digitando e pressionando a tecla Enter

 sudo ./pibsfilename.sh

3- junte-se a um dos comandos abaixo

 sudo domainjoin-cli join domainname.com [email protected]

ou

 sudo domainjoin-cli join --disable ssh domainname.com [email protected]

4- Além disso, observe que pode ser necessário fazer uma pequena alteração em um arquivo de configuração, conforme observado aqui. Ou seja, no arquivo /etc/pam.d/common-session, altere a linha que lê:

   session sufficient pam_lsass.so

para

   session [success=ok default=ignore] pam_lsass.so

5- execute este comando para configurar, como lwconfig da mesma forma (execute a partir da pasta home), use caret ^para espaços nos nomes de grupos

   /opt/pbis/bin/config Requiremembershipof "domainname\\ASecurityGroupFromYourDomain" "domainname\\plus^other^group"
   /opt/pbis/bin/config AssumeDefaultDomain true
   /opt/pbis/bin/config UserDomainPrefix domainname

6- se você deseja que um nome de usuário seja sudoer, faça o seguinte

 sudo nano /etc/sudoers

depois da linha raiz, adicione a linha abaixo

 username ALL=(ALL:ALL) ALL

para uso grupo %:

 %DOMAINNAME\\Power^Users ALL=(ALL:ALL) ALL

7- e finalmente editar o arquivo de configuração do lightdm

   sudo nano /usr/share/lightdm/lightdm.conf.d/50-unity-greeter.conf

   allow-guest=false
   greeter-show-remote-login=false
   greeter-show-manual-login=true

( 60-lightdm-gtk-greeter.confno Lubuntu 14.04)

8- Reinicialização

Recursos utilizados:

user273175
fonte
Muito obrigado. Para mim, executarei com a "realmd" - autenticação de rede que usa "sssd" para autenticação.
precisa saber é o seguinte
"disbale" provavelmente deve ser "desativar", sim?
Matt Wilkie
Para mim, a conclusão da guia nos shells do terminal está quebrada para o usuário do AD; a partir daqui , eu acho sudo /opt/pbis/bin/config LoginShellTemplate /bin/bashcorreção poder que (apenas para novos usuários?). Também há uma nota que 50-unity-greeter.confprecisa ser editada no Lubuntu 14.04.
Matt Wilkie
8

Ele foi simplesmente renomeado e removido dos repositórios oficiais. Agora é conhecido como BeyondTrust PowerBroker Identity Services, Open Edition (não é tão cativante, eu sei), e pode ser encontrado aqui .

Além disso, observe que pode ser necessário fazer uma pequena alteração em um arquivo de configuração, conforme observado aqui . Ou seja, no arquivo /etc/pam.d/common-session, altere a linha que lê:

session sufficient pam_lsass.so

para

session [success=ok default=ignore] pam_lsass.so

Encontrei essas informações depois de muito pesquisar no Google e arrancar cabelos. Espero que isto ajude.

marcski55
fonte
Caso alguém esteja procurando um relatório de erro, está aqui , com a mesma correção que sua resposta. Alguém mencionou que ele notificaria o PowerBroker sobre isso, mas aparentemente eles ainda não consertaram o PBIS.
Bart
1

A outra solução (e no IMHO, a mais madura e estável) é o Centrify Express.

As etapas sobre como instalar o Centrify Express (e por que as pessoas mudaram para o Centrify) podem ser encontradas em

http://www.question-defense.com/2012/08/31/dpkg-error-processing-likewise-open-configure-join-linux-server-to-windows-domain-controller

http://ninjix.blogspot.com/2011/01/puppet-module-for-centrify-express.html

user273207
fonte
Bem-vindo ao Ask Ubuntu! Embora isso possa teoricamente responder à pergunta, seria preferível incluir aqui as partes essenciais da resposta e fornecer o link para referência.
precisa saber é o seguinte
1

Muito obrigado. Para mim (em vez de usar o PBIS (serviço de identificação do powerbroker)), executarei com a "realmd - autenticação de rede" que usa "sssd". Isso instala e configura todos os componentes (Kerberos e sssd-config) para mim (SSSD = Daemon de Serviços de Segurança do Sistema). A única coisa a fazer é ingressar no domínio (consulte domínio - ajuda) e configurar manualmente o pam (em /etc/pam.d/common-session; add "session required pam_mkhomedir.so umask = 077) para criação automática de diretórios locais e possivelmente modifique o arquivo sudoers para os usuários de anúncios.Vê isso, acho que é uma maneira alternativa fácil para a integração com o AD e ela sai da caixa e usa padrões.

user272446
fonte
0

Espero que você tenha procurado outras opções porque sudo apt-get install likewise-opennão funcionou, siga estas etapas para instalar o mesmo na versão 14.04. Funcionou para mim.

wget http://de.archive.ubuntu.com/ubuntu/pool/main/l/likewise-open/likewise-open_6.1.0.406-0ubuntu10_i386.deb
wget http://de.archive.ubuntu.com/ubuntu/pool/main/libg/libglade2/libglade2-0_2.6.4-1ubuntu3_i386.deb
wget http://de.archive.ubuntu.com/ubuntu/pool/universe/l/likewise-open/likewise-open-gui_6.1.0.406-0ubuntu10_i386.deb
sudo dpkg -i likewise-open_6.1.0.406-0ubuntu10_i386.deb
sudo dpkg -i libglade2-0_2.6.4-1ubuntu3_i386.deb
sudo dpkg -i likewise-open-gui_6.1.0.406-0ubuntu10_i386.deb
sudo domainjoin-cli join domain_name admin_username

solicitará a senha de administrador e você está dentro

Espero que isso ajude.

Daniel
fonte
0

Escrevo um pequeno tutorial sobre como instalar o PowerBroker Identity Services no servidor ubuntu 14.04 lts. Eu uso para o serviço Apache SSO sobre AD e Windows 7 client. Em francês, mas a linha de comando está escrita no shell: o): http://www.cymea.net/sso-apache2-active-direcotry-powerbroker-identity-services/

Boa leitura

wget http://download.beyondtrust.com/PBISO/8.0.0.2016/linux.deb.x64/pbis-open-8.0.0.2016.linux.x86_64.deb.sh
chmod +x pbis-open-8.0.0.2016.linux.x86_64.deb.sh
./pbis-open-8.0.0.2016.linux.x86_64.deb.sh
domainjoin-cli join TEST.LAN administrateur

Joining to AD Domain:   TEST.LAN
With Computer DNS Name: chronos.TEST.LAN
[email protected]'s password:
...
Your system has been configured to authenticate to Active Directory for the first time.  It is recommended that you restart your system to ensure that all applications recognize the new settings.
SUCCESS
diabo
fonte