阿里云-云小站(无限量代金券发放中)
【腾讯云】云服务器、云数据库、COS、CDN、短信等热卖云产品特惠抢购

CentOS 7.9使用PBIS工具加入AD域

85次阅读
没有评论

共计 2482 个字符,预计需要花费 7 分钟才能阅读完成。

导读 在本文中,我们将在 CentOS 7.9 中安装并配置 PowerBroker Identity Services(PBIS),以便与 Windows 的域控制器连接在一起。
下载并安装 PBIS

我们需要从 Github 中下载 PBIS 工具,可以使用下面的命令下载当前版本适用 Ubuntu 的 PBIS 工具。
github 下载连接为:https://github.com/BeyondTrust/pbis-open/releases/
CentOS 7.9 使用 PBIS 工具加入 AD 域

# 该链接是 64 位版本的
[root@bob-cen7 ~]# wget https://github.com/BeyondTrust/pbis-open/releases/download/9.1.0/pbis-open-9.1.0.551.linux.x86_64.rpm.sh
# 该连接是 32 位版本的
[root@bob-cen7 ~]# wget https://github.com/BeyondTrust/pbis-open/releases/download/9.1.0/pbis-open-9.1.0.551.linux.x86.rpm.sh

下面步骤开始安装 PBIS,安装很简单,只需要将下载的文件添加执行权限,并执行即可:

[root@bob-cen7 ~]# chmod +x pbis-open-9.1.0.551.linux.x86_64.rpm.sh
[root@bob-cen7 ~]# ./pbis-open-9.1.0.551.linux.x86_64.rpm.sh

CentOS 7.9 使用 PBIS 工具加入 AD 域

PBIS 相关配置
加入域

PBIS 已经安装成功,下面进入 /opt/pbis/bin 目录,来执行 domainjoin-cli 命令让系统加入域吧。

domainjoin-cli join的用法如下:

$ sudo domainjoin-cli join DomainName AdminUser

下面将系统加入到 pangzb.com 域中:

[root@bob-cen7 ~]# cd /opt/pbis/bin/
[root@bob-cen7 bin]# ./domainjoin-cli join pangzb.com administrator

CentOS 7.9 使用 PBIS 工具加入 AD 域

  • DomainName: 是你的域环境的域名
  • AdminUser: 是域管理员用户

出现提示时,请提供 Active Directory 管理员的密码。成功验证后,PBIS 工具会将 CentOS 计算机添加为域的成员。该命令还会在 /etc/hosts 文件中添加条目。
CentOS 7.9 使用 PBIS 工具加入 AD 域
下面图片中,实在 AD 域控制器中看到 CentOS 系统已成为域的成员了。
CentOS 7.9 使用 PBIS 工具加入 AD 域
通过 domainjoin-cli query 来查看是否以加入域成功:

[root@bob-cen7 bin]# ./domainjoin-cli query
Name = bob-cen7
Domain = PANGZB.COM
Distinguished Name = CN=BOB-CEN7,CN=Computers,DC=pangzb,DC=com

可以看到主机名、域名、和 DN 名称。
CentOS 7.9 使用 PBIS 工具加入 AD 域

退出域

如果该计算机想要退出域,则需要使用 leave 选项了:

[root@bob-cen7 bin]# ./domainjoin-cli leave
域用户使用 sudo

加入域之后重要的事情是限制域用户使用 sudo 命令提权。这可以通过使用 visudo 命令添加 %domain^admins ALL=(ALL) ALL 来完成,这样只允许域管理员用户才能使用 sudo 命令:

[root@bob-cen7 bin]# visudo
# 打开之后,在配置文件中添加如下行
%domain^admins ALL=(ALL) NOPASSWD: ALL

CentOS 7.9 使用 PBIS 工具加入 AD 域

其他功能

使用 PBIS 的有点是,它允许以多种方式自定义登录、域名前缀、登录 shell、文件夹名称等。通过下面功能调试,可以使域用户更好的访问 CentOS 系统。

设置默认 shell

默认的 shell 为 sh,看起来太单调,在这里可以设置成 bash shell,使用 LoginShellTemplate 参数。

[root@bob-cen7 ~]# /opt/pbis/bin/config LoginShellTemplate /bin/bash

CentOS 7.9 使用 PBIS 工具加入 AD 域
更改为 bash shell 之后,用与用户登录的效果:
CentOS 7.9 使用 PBIS 工具加入 AD 域

设置域用户家目录文件夹的命名规则

默认域用户登录之后目录结构为 /home/local/Domain/User,如果嫌目录太长,可以修改,使用HomeDirTemplate 参数:

[root@bob-cen7 ~]# /opt/pbis/bin/config HomeDirTemplate %H/%U@%D

CentOS 7.9 使用 PBIS 工具加入 AD 域
其中 %H 参数表示 home 目录,%D表示域名,%U表示域用户名,@表示用来分隔的符号。

图形化界面登录域用户

使用域用户登录,点击 ”Not listed?”,然后使用域用户登录
CentOS 7.9 使用 PBIS 工具加入 AD 域
不需要设置其他,直接输入域用户:
CentOS 7.9 使用 PBIS 工具加入 AD 域
然后输入密码:
CentOS 7.9 使用 PBIS 工具加入 AD 域
即可进入系统啦:
CentOS 7.9 使用 PBIS 工具加入 AD 域

使用 ssh 登录域用户

可以将域用户和域名之间的 @ 符号转义,就可以登录了。

[root@bob-cen7 ~]# ssh user02\@pangzb.com@127.0.0.1

CentOS 7.9 使用 PBIS 工具加入 AD 域

如何重启 PBIS 服务

PBIS 的守护进程是 lwsmd,该守护进程位于/opt/pbis/sbin/lwsmd。这个守护进程包括lsass 服务,它处理身份验证、授权、缓存和 ldmap 查找。因为身份验证服务只在启动时注册信任,所以在修改信任关系后,应该使用lsass。执行以下命令重启服务:

[root@bob-cen7 ~]# /opt/pbis/bin/lwsm restart lsass

CentOS 7.9 使用 PBIS 工具加入 AD 域

域控制器中如何删除无效的主机

在域控制器中,打开 powershell,输入如下命令:

# 列出至少 1 星期没有启动的机器,并禁用
dsquery computer -inactive | dsmod computer -disabled yes
# 列出已禁用的主机,并删除
dsquery computer -disabled | dsrm -noprompt
总结

本文介绍了在 CentOS 7.9 中安装并配置 PowerBroker Identity Services(PBIS),以便与 Windows 的域控制器连接在一起。

正文完
星哥玩云-微信公众号
post-qrcode
 0
星锅
版权声明:本站原创文章,由 星锅 于2024-07-25发表,共计2482字。
转载说明:除特殊说明外本站文章皆由CC-4.0协议发布,转载请注明出处。
【腾讯云】推广者专属福利,新客户无门槛领取总价值高达2860元代金券,每种代金券限量500张,先到先得。
阿里云-最新活动爆款每日限量供应
评论(没有评论)
验证码
【腾讯云】云服务器、云数据库、COS、CDN、短信等云产品特惠热卖中