ebenfalls offen | 14.04 | andere einfache Möglichkeit, AD zu verbinden?

16

Für die Benutzerauthentifizierung verwenden wir viele Linux-Server mit Active Directory-Mitgliedschaft. Dies erfolgt mit dem ebenfalls offenen Paket. Wir haben die Beta-Version von Ubuntu Server 14.04 LTS getestet. Alles funktioniert nach einer Minute (installieren, Domänenbeitritt, Registrierung importieren, Sudoer bearbeiten, fertig). Nun wird von Beta auf Production-Release ebenfalls-Open aus dem Repository entfernt.

Gibt es eine ebenso einfache Möglichkeit für AD-Domänenbeitritt und (AD-) gruppenbasierte Anmeldeverwaltung (ohne manuelle Installation und Bearbeitung von Konfigurationsdateien für Samba, WinBind, NSSwitch, Pam usw.)?

vielen dank silvio

user272446
quelle

Antworten:

16

Verwenden Sie Powerbroker anstelle von ebenfalls

Führen Sie die folgenden Schritte aus

1- Laden Sie powerbroker hier herunter: http://download1.beyondtrust.com/Technical-Support/Downloads/PowerBroker-Identity-Services-Open-Edition/?Pass=True

2- Lass es laufen,

sudo chmod a+x

laufen Sie, indem Sie es eingeben und die Eingabetaste drücken

 sudo ./pibsfilename.sh

3- Verbinden Sie sich mit einem der folgenden Befehle

 sudo domainjoin-cli join domainname.com [email protected]

oder

 sudo domainjoin-cli join --disable ssh domainname.com [email protected]

4- Beachten Sie außerdem, dass Sie möglicherweise eine geringfügige Änderung an einer Konfigurationsdatei vornehmen müssen, wie hier angegeben. /etc/pam.d/common-sessionÄndern Sie in der Datei nämlich die Zeile, die lautet:

   session sufficient pam_lsass.so

zu

   session [success=ok default=ignore] pam_lsass.so

5- Führen Sie diesen Befehl aus, um wie in lwconfig (vom Basisordner aus) zu konfigurieren, und verwenden Sie caret ^für Leerzeichen in Gruppennamen

   /opt/pbis/bin/config Requiremembershipof "domainname\\ASecurityGroupFromYourDomain" "domainname\\plus^other^group"
   /opt/pbis/bin/config AssumeDefaultDomain true
   /opt/pbis/bin/config UserDomainPrefix domainname

6- Wenn Sie möchten, dass ein Benutzername sudoer ist, gehen Sie wie folgt vor

 sudo nano /etc/sudoers

Fügen Sie nach der Stammzeile die folgende Zeile hinzu

 username ALL=(ALL:ALL) ALL

für Gruppengebrauch %:

 %DOMAINNAME\\Power^Users ALL=(ALL:ALL) ALL

7- und schließlich bearbeiten Sie die lightdm-Konfigurationsdatei

   sudo nano /usr/share/lightdm/lightdm.conf.d/50-unity-greeter.conf

   allow-guest=false
   greeter-show-remote-login=false
   greeter-show-manual-login=true

( 60-lightdm-gtk-greeter.confin Lubuntu 14.04)

8- Neustart

Verwendete Ressourcen:

user273175
quelle
Danke vielmals. Für mich werde ich mit der "realmd" - Netzwerkauthentifizierung laufen, die "sssd" zur Authentifizierung verwendet.
user272446
"disbale" sollte wohl "disable" sein, ja?
Matt Wilkie
Für mich ist die Tab-Vervollständigung in Terminal-Shells für AD-Benutzer fehlerhaft. Von hier aus denke ich, sudo /opt/pbis/bin/config LoginShellTemplate /bin/bashkönnte das behoben werden (nur für neue Benutzer?). Außerdem 50-unity-greeter.confmuss stattdessen ein Hinweis für Lubuntu 14.04 bearbeitet werden.
Matt Wilkie
8

Es wurde einfach umbenannt und aus den offiziellen Repositories entfernt. Es ist jetzt als BeyondTrust PowerBroker Identity Services, Open Edition (nicht so eingängig, wie ich weiß) bekannt und kann hier gefunden werden .

Beachten Sie außerdem, dass Sie möglicherweise eine geringfügige Änderung an einer Konfigurationsdatei vornehmen müssen, wie hier angegeben . /etc/pam.d/common-sessionÄndern Sie in der Datei nämlich die Zeile, die lautet:

session sufficient pam_lsass.so

zu

session [success=ok default=ignore] pam_lsass.so

Fand diese Info nach einer Menge Googeln und Haare ausziehen. Hoffe das hilft.

marcski55
quelle
Nur für den Fall, dass jemand nach einem Fehlerbericht sucht, ist dieser hier mit der gleichen Lösung wie Ihre Antwort. Jemand erwähnte, dass er PowerBroker darüber benachrichtigen würde, aber anscheinend haben sie PBIS noch nicht behoben.
Bart
1

Die andere (und meiner Meinung nach ausgereiftere und stabilere) Lösung ist Centrify Express.

Anweisungen zur Installation von Centrify Express (und warum zu Centrify gewechselt wurde) finden Sie unter

http://www.question-defense.com/2012/08/31/dpkg-error-processing-likewise-open-configure-join-linux-server-to-windows-domain-controller

http://ninjix.blogspot.com/2011/01/puppet-module-for-centrify-express.html

user273207
quelle
Willkommen bei Ask Ubuntu! Während dies theoretisch die Frage beantworten mag, wäre es vorzuziehen , die wesentlichen Teile der Antwort hier aufzunehmen und den Link als Referenz bereitzustellen.
guntbert
1

Danke vielmals. Für mich (anstatt den PBIS (Powerbroker Identify Service) zu verwenden) werde ich mit der "Realmd - Network Authentification" laufen, die "sssd" verwendet. Dadurch werden alle Komponenten (Kerberos und die sssd-config) für mich installiert und konfiguriert (SSSD = System Security Services Daemon). Sie müssen nur der Domäne beitreten (siehe realm --help) und pam manuell einrichten (in /etc/pam.d/common-session; "session required pam_mkhomedir.so umask = 077" hinzufügen), um Homedirectorys automatisch zu erstellen und Ändern Sie möglicherweise die sudoers-Datei für die Anzeigenbenutzer. Sehen Sie sich das an. Ich denke, das ist eine einfache Alternative für die AD-Integration. Es ist sofort einsatzbereit und verwendet Standards.

user272446
quelle
0

Ich hoffe, Sie haben nach anderen Optionen gesucht, da sudo apt-get install likewise-opendiese nicht funktioniert haben. Befolgen Sie diese Schritte, um sie ebenfalls in 14.04 zu installieren. Es hat bei mir funktioniert.

wget http://de.archive.ubuntu.com/ubuntu/pool/main/l/likewise-open/likewise-open_6.1.0.406-0ubuntu10_i386.deb
wget http://de.archive.ubuntu.com/ubuntu/pool/main/libg/libglade2/libglade2-0_2.6.4-1ubuntu3_i386.deb
wget http://de.archive.ubuntu.com/ubuntu/pool/universe/l/likewise-open/likewise-open-gui_6.1.0.406-0ubuntu10_i386.deb
sudo dpkg -i likewise-open_6.1.0.406-0ubuntu10_i386.deb
sudo dpkg -i libglade2-0_2.6.4-1ubuntu3_i386.deb
sudo dpkg -i likewise-open-gui_6.1.0.406-0ubuntu10_i386.deb
sudo domainjoin-cli join domain_name admin_username

fragt nach dem Administratorpasswort und Sie sind dabei.

Hoffe das wird helfen.

Daniel
quelle
0

Ich schreibe ein kurzes Howto für die Installation von PowerBroker Identity Services auf Ubuntu 14.04 LTS Server. Ich benutze für den Apache-Dienst SSO über AD und Windows 7-Client. Auf französisch, aber die Befehlszeile ist in Shell geschrieben: o): http://www.cymea.net/sso-apache2-active-direcotry-powerbroker-identity-services/

Schön gelesen

wget http://download.beyondtrust.com/PBISO/8.0.0.2016/linux.deb.x64/pbis-open-8.0.0.2016.linux.x86_64.deb.sh
chmod +x pbis-open-8.0.0.2016.linux.x86_64.deb.sh
./pbis-open-8.0.0.2016.linux.x86_64.deb.sh
domainjoin-cli join TEST.LAN administrateur

Joining to AD Domain:   TEST.LAN
With Computer DNS Name: chronos.TEST.LAN
[email protected]'s password:
...
Your system has been configured to authenticate to Active Directory for the first time.  It is recommended that you restart your system to ensure that all applications recognize the new settings.
SUCCESS
fdevil
quelle