CentOS 7.9使用PBIS工具加入AD域

最新推荐文章于 2024-06-17 11:53:04 发布
转载 最新推荐文章于 2024-06-17 11:53:04 发布 · 761 阅读 · 2 ·
CC 4.0 BY-SA版权
原文链接:https://www.linuxprobe.com/?p=239472
文章标签:

#linux

本文详细指导了如何在CentOS 7.9中安装和配置PowerBrokerIdentityServices (PBIS),包括下载、安装、加入域、配置域用户权限和高级设置,如默认shell、目录结构及登录方式,以及重启服务和管理域控制器。
导读在本文中,我们将在CentOS 7.9中安装并配置 PowerBroker Identity Services(PBIS),以便与Windows的域控制器连接在一起。

下载并安装PBIS

我们需要从Github中下载PBIS工具,可以使用下面的命令下载当前版本适用Ubuntu的PBIS工具。
github下载连接为:https://github.com/BeyondTrust/pbis-open/releases/

正在上传…重新上传取消

# 该链接是64位版本的
[root@bob-cen7 ~]# wget https://github.com/BeyondTrust/pbis-open/releases/download/9.1.0/pbis-open-9.1.0.551.linux.x86_64.rpm.sh
# 该连接是32位版本的
[root@bob-cen7 ~]# wget https://github.com/BeyondTrust/pbis-open/releases/download/9.1.0/pbis-open-9.1.0.551.linux.x86.rpm.sh

下面步骤开始安装PBIS,安装很简单,只需要将下载的文件添加执行权限,并执行即可:

[root@bob-cen7 ~]# chmod +x pbis-open-9.1.0.551.linux.x86_64.rpm.sh
[root@bob-cen7 ~]# ./pbis-open-9.1.0.551.linux.x86_64.rpm.sh

正在上传…重新上传取消

PBIS 相关配置

加入域

PBIS已经安装成功,下面进入/opt/pbis/bin目录,来执行domainjoin-cli命令让系统加入域吧。

domainjoin-cli join的用法如下:

$ sudo domainjoin-cli join DomainName AdminUser

下面将系统加入到pangzb.com域中:

[root@bob-cen7 ~]# cd /opt/pbis/bin/
[root@bob-cen7 bin]# ./domainjoin-cli join pangzb.com administrator

转存失败重新上传取消

  • DomainName: 是你的域环境的域名
  • AdminUser: 是域管理员用户

出现提示时,请提供 Active Directory 管理员的密码。成功验证后,PBIS工具会将CentOS计算机添加为域的成员。该命令还会在 /etc/hosts 文件中添加条目。


下面图片中,实在AD域控制器中看到CentOS系统已成为域的成员了。

通过domainjoin-cli query来查看是否以加入域成功:

[root@bob-cen7 bin]# ./domainjoin-cli query
Name = bob-cen7
Domain = PANGZB.COM
Distinguished Name = CN=BOB-CEN7,CN=Computers,DC=pangzb,DC=com

可以看到主机名、域名、和DN名称。

退出域

如果该计算机想要退出域,则需要使用leave选项了:

[root@bob-cen7 bin]# ./domainjoin-cli leave

域用户使用sudo

加入域之后重要的事情是限制域用户使用sudo命令提权。 这可以通过使用visudo命令添加%domain^admins ALL=(ALL) ALL来完成,这样只允许域管理员用户才能使用sudo命令:

[root@bob-cen7 bin]# visudo
# 打开之后,在配置文件中添加如下行
%domain^admins ALL=(ALL) NOPASSWD: ALL

正在上传…重新上传取消

其他功能

使用PBIS的有点是,它允许以多种方式自定义登录、域名前缀、登录shell、文件夹名称等。 通过下面功能调试,可以使域用户更好的访问CentOS系统。

设置默认shell

默认的shell为sh,看起来太单调,在这里可以设置成bash shell,使用LoginShellTemplate参数。

[root@bob-cen7 ~]# /opt/pbis/bin/config LoginShellTemplate /bin/bash


更改为bash shell之后,用与用户登录的效果:

设置域用户家目录文件夹的命名规则

默认域用户登录之后目录结构为/home/local/Domain/User,如果嫌目录太长,可以修改 ,使用HomeDirTemplate参数:

[root@bob-cen7 ~]# /opt/pbis/bin/config HomeDirTemplate %H/%U@%D

正在上传…重新上传取消
其中%H参数表示home目录,%D表示域名,%U表示域用户名,@表示用来分隔的符号。

图形化界面登录域用户

使用域用户登录,点击"Not listed?",然后使用域用户登录

正在上传…重新上传取消
不需要设置其他,直接输入域用户:

然后输入密码:

即可进入系统啦:

使用ssh登录域用户

可以将域用户和域名之间的@符号转义,就可以登录了。

[root@bob-cen7 ~]# ssh user02\@pangzb.com@127.0.0.1

如何重启PBIS服务

PBIS的守护进程是lwsmd,该守护进程位于/opt/pbis/sbin/lwsmd。 这个守护进程包括lsass服务,它处理身份验证、授权、缓存和ldmap查找。 因为身份验证服务只在启动时注册信任,所以在修改信任关系后,应该使用lsass。 执行以下命令重启服务:

[root@bob-cen7 ~]# /opt/pbis/bin/lwsm restart lsass

域控制器中如何删除无效的主机

在域控制器中,打开powershell,输入如下命令:

# 列出至少1星期没有启动的机器,并禁用
dsquery computer -inactive | dsmod computer -disabled yes
# 列出已禁用的主机,并删除
dsquery computer -disabled | dsrm -noprompt

总结

本文介绍了在CentOS 7.9中安装并配置 PowerBroker Identity Services(PBIS),以便与Windows的域控制器连接在一起。www.linuxprobe.com

Linux资源站
关注
CentOS桌面系统加入Samba AD环境中
InjeProgram的博客
10-04 503
在本文中,我们将介绍如何将CentOS桌面系统成功加入Samba AD环境。至此,您已成功将CentOS桌面系统加入Samba AD环境。现在,您可以使用AD中的用户凭据登录系统,并享受单点登录和集中管理的好处。请确保将“YOUR-REALM.COM”和“your-ad-server.your-realm.com”替换为您的AD的实际值。首先,我们需要安装一些必要的软件包来支持将CentOS系统加入AD。输入密码后,系统将尝试将CentOS系统加入AD。如果一切顺利,您将看到成功加入的消息。
CentOS7加入AD(winbind)
loveoneselfok的博客
03-06 1223
AD(Active Directory)是Windows服务器的活动目录,在目录中可以收录公司的电脑账号,用户账号,组等信息,以提供更好的安全性和更便捷的管理能力。的最大好处之一就是其安全性 – 所有账号不会在本地计算机认证,而是连接到制器寻求认证。CentOS7加入AD的方法很多,常用的有winbind和realm两种。winbind是一种成熟的方案,兼容多种操作系统版本,但配置步骤繁琐复杂,且易出错。
CentOS7加入AD.docx
09-30
CentOS7加入AD
CentOS加入AD
键盘上温暖而又美好的时光 .
01-08 4822
前言 企业中如果使用Linux 和 Windows,想要统一管理,则可以将需要管理的 Linux 主机和 Windows 主机都加 入Windows Active Directory,即 AD 也就是我们常说的。以下便是记录 CentOS7 加入 AD 的操作,使用的是 Realmd,它配置 Linux 系统服务(如 sssd 或 winbind)来执行实际的网络身份验证和用户帐户查找。 环境信息 :test.local :dc01.test.local(IP:192.168.127.1
centos7.9 离线镜像源
10-01
CentOS 7.9 是一个广泛使用Linux发行版,它的离线镜像源文件包含了操作系统安装和配置所需的所有软件包、补丁和数据。由于CentOS 7.9是基于Red Hat Enterprise Linux(RHEL)构建的,它继承了RHEL的稳定性与安全性...
centos 7.9内核4.19版本
11-18
CentOS 7.9是这一系列的一个特定版本,其内核是操作系统的核心组件,负责管理CPU、内存和设备驱动程序等硬件资源,同时也是用户空间程序与硬件交互的桥梁。 内核版本4.19CentOS 7.9所采用的一个稳定版本,相较于...
CentOS 7.9下载
01-12
在大数据环境中,CentOS 7.9支持各种关键组件,如Hadoop、Spark、Hive、HBase等,这些工具都是大数据处理和分析的重要组成部分。此外,它还提供了对Docker和Kubernetes等容器技术的支持,使得部署和管理大数据应用变...
centos7.9 curl离线安装
最新发布
09-02
CentOS 7.9环境下,curl工具是一个广泛使用的命令行工具,用于从服务器传输数据。它支持多种协议,比如HTTP、HTTPS、FTP等,常用于网页内容的下载、API调用等场景。当用户处于离线状态或网络环境受限时,无法直接...
升级centos7.9-openssh9.9p1+++安装脚本
12-29
此外,对于使用的标签“centos7.9”,这代表脚本适用于CentOS 7.9版本的操作系统。CentOS 7.9CentOS 7系列的最后一个维护更新版本,官方会在2024年6月30日后停止对它的维护,因此用户应该关注后续的CentOS Stream...
CentOS加入Windows DC脚本
06-27
CentOS加入Windows DC脚本
CentOS加入AD实践(使用SSSD)
qq_38773240的博客
06-17 2786
在将Linux加入Windows之前,我们需要确保已经设置了时间服务和DNS服务。先销毁已有票据,再生成新的票据,这里。,添加ip及对应hostname。,添加名和对应ip。
Centos8 使用realmd加入AD
Free雅轩的博客
04-10 1074
本文展示如何使用 realmd ,sssd将Centos7 / 8 加入到 Active Directory 。 本文还进一步为通过 AD 登录的用户配置 sudo 规则。 设置主机名和DNS 下面命令用来设置正确的主机名和dns服务器地址: [root@Centos8-1 ~]# hostnamectl set-hostname Centos8-1.pangzb.com [root@Centos8-1 ~]# hostnamectl 配置可以和AD制器通信的DNS地址: .
centos 7.x 加入windows server 2019 AD
xikui1551的博客
12-19 1402
centos 7.x 加入windows server 2019 AD
Centos 7加入Windows AD及搭建基于Windows AD(即ldap)认证的samba共享
Junson142099的博客
10-20 4617
在我的windows server系列的文章中已经搭建好了windows AD,现在要求Centos 7服务器加入AD并实现基于AD认证的samba共享。 物理环境: Windows Server 2012 名:junson.com 主机名:CNSZAD01 IP地址:192.168.1.1 CentOS 7 主机名:centos01.junson.com 目前主流的方法是使用winbind加入AD,不过在Centos 7及之后的版本中,还出现了sssd加realm的方法来加,但是这方面的相关资料
Centos 7 加入Windows Server 2016 AD
分享的都是纯自学心得
06-07 645
Windows server 2016 IP地址192.168.10.1。环境:Windows server 2016 一台。#我这里是新建了一个组织单位然后创建的一个用户。#加入,这里要输入AD的超级管理员密码。创建AD,然后创建一个用户。#用用户的方式进行登录。都关闭防火墙,(子系统)#发现hb.com这个Centos7 一台。
centos7加入Windows
GYD2780838的博客
09-30 3804
这里采用命令加入 1.Linux配置DNS,没有配置的话无法识别名 2.有些加入的主机名有要求,所以需要修改主机名才能正常入,注意修改主机名会导致Linux上的服务异常,比如rabbitMQ。修改方式 vi /etc/hostname reboot使之生效 3.安装软件 yuminstall-y krb5-workstation realmd sssd samba-...
CentOS7与Windows AD集成之一CentOS加入Windows
weixin_34220834的博客
06-06 3772
首先准备好以下测试机: Windows AD一台:192.168.137.137 CentOS7一台:192.168.137.130 CentOS7上操作如下: [root@centos130 ~]# yum install sssd realmd oddjob oddjob-mkhomedir adcli samba-common [root@centos130 ~]# cat /etc/r...
Linux网络设置——基于redhat的centos7.9
Q7758521adc的博客
05-13 1575
natstat 用于查看网络连接状态 常用选项有:a 显示所有信息,n以数字化显示,p进程信息,t显示tcp协议的网络进程,u显示udp协议的网络进程。当名解析出现错误时,通过名访问便是不可行的,只能通过IP地址访问,相当麻烦,在Linux中便有了相应的测试工具。ping:用于测试连通性,通过icmp协议发送报文,有许多灵活的调用选项,可以参考man手册需要注意几种错误信息,总结:关于网络设置常用的就这些,能够应付绝大多数的场景,更多的细节,则根据需要查阅相关资料来实现。
centos 7.9 加入windows ad
09-21
### 回答1: 要将 CentOS 7.9 加入 Windows Active Directory(AD),您需要执行以下步骤: 1. 安装必要的软件包:运行以下命令安装 samba、samba-client 和 samba-winbind 软件包: ``` yum install samba samba-client samba-winbind ``` 2. 配置 Kerberos 认证:编辑 /etc/krb5.conf 文件并设置以下内容: ``` [logging] default = FILE:/var/log/krb5libs.log kdc = FILE:/var/log/krb5kdc.log admin_server = FILE:/var/log/kadmind.log [libdefaults] default_realm = YOUR_REALM dns_lookup_realm = true dns_lookup_kdc = true ticket_lifetime = 24h renew_lifetime = 7d forwardable = true [realms] YOUR_REALM = { kdc = YOUR_KDC_SERVER admin_server = YOUR_ADMIN_SERVER } [domain_realm] .yourdomain.com = YOUR_REALM yourdomain.com = YOUR_REALM ``` 请将 YOUR_REALM、YOUR_KDC_SERVER 和 YOUR_ADMIN_SERVER 替换为您的名和服务器名称。 3. 配置 Samba 认证:编辑 /etc/samba/smb.conf 文件并设置以下内容: ``` [global] workgroup = YOUR_DOMAIN security = ads realm = YOUR_REALM password server = YOUR_PASSWORD_SERVER idmap uid = 10000-20000 idmap gid = 10000-20000 winbind enum users = yes winbind enum groups = yes winbind use default domain = yes template homedir = /home/%U template shell = /bin/bash [homes] comment = Home Directories valid users = %S, %D%w%S browseable = No read only = No inherit acls = Yes [printers] comment = All Printers path = /var/tmp printable = Yes create mask = 0600 browseable = No [print$] comment = Printer Drivers path = /var/lib/samba/drivers write list = root create mask = 0664 directory mask = 0775 [public] comment = Public Stuff path = /home/samba public = yes writable = yes printable = no write list = +staff ``` 请将 YOUR_DOMAIN、YOUR_REALM 和 YOUR_PASSWORD_SERVER 替换为您的名和服务器名称。 4. 启动 Samba 和 Winbind 服务: ``` systemctl start smb systemctl start winbind ``` 5. 加入 Active Directory:运行以下命令将 CentOS 7.9 加入到 Windows AD 中: ``` net ads join -U administrator ``` 请将 administrator 替换为您的管理员帐户。 6. 测试认证:运行以下命令测试 Samba 和 Winbind 认证: ``` wbinfo -u wbinfo -g ``` 如果这些命令返回正确的用户和组列表,则表示认证成功。 以上就是将 CentOS 7.9 加入 Windows Active Directory 的步骤。 ### 回答2: 在CentOS 7.9加入Windows AD,可以按照以下步骤进行操作: 1. 首先,确保CentOS 7.9服务器已经正确安装并联网正常。 2. 安装所需软件包:运行命令`yum install -y sssd realmd oddjob oddjob-mkhomedir adcli samba-common-tools`。 3. 启用DNS解析:运行命令`systemctl enable --now systemd-resolved`。 4. 使用realm命令加入:运行命令`realm join -U Administrator your_domain_name`,其中your_domain_name是Windows AD的名称。 5. 输入Windows AD的管理员帐户密码以完成加入过程。如果成功,您将收到成功加入的提示。 6. 配置sssd配置文件:运行命令`vi /etc/sssd/sssd.conf`,并对文件进行如下配置: ``` [sssd] domains = your_domain_name config_file_version = 2 services = nss, pam, pac [domain/your_domain_name] ad_domain = your_domain_name krb5_realm = YOUR_DOMAIN_NAME realmd_tags = manages-system joined-with-adcli cache_credentials = True id_provider = ad krb5_store_password_if_offline = True default_shell = /bin/bash ldap_id_mapping = True use_fully_qualified_names = False ``` 将your_domain_name替换为Windows AD的名称。 7. 设置sssd.conf文件的权限:运行命令`chmod 600 /etc/sssd/sssd.conf`以确保其只能由root用户访问。 8. 重启sssd服务:运行命令`systemctl restart sssd`。 9. 使用Windows AD用户登录:现在,您应该可以使用Windows AD的用户凭据登录到CentOS 7.9服务器。 以上是将CentOS 7.9加入Windows AD的简要步骤。具体操作可以根据您的需求和实际情况进行调整和修改。 ### 回答3: 要将CentOS 7.9加入Windows AD,你需要采取以下步骤: 1. 首先,确保CentOS 7.9安装了Samba软件包。你可以通过运行以下命令来检查并安装Samba: ``` yum install samba samba-client samba-common ``` 2. 然后,编辑Samba配置文件。打开`/etc/samba/smb.conf`文件,并将以下内容添加到文件的末尾: ``` security = ads realm = YOUR.AD.REALM password server = YOUR.AD.SERVER idmap config * : range = 2000-9999 winbind use default domain = yes winbind offline logon = false template homedir = /home/%U template shell = /bin/bash ``` 请替换`YOUR.AD.REALM`和`YOUR.AD.SERVER`为你的Active Directory的服务器地址。 3. 保存并关闭Samba配置文件。 4. 接下来,你需要编辑Kerberos配置文件。打开`/etc/krb5.conf`文件,并将以下内容添加到文件的末尾: ``` default_realm = YOUR.AD.REALM [realms] YOUR.AD.REALM = { kdc = YOUR.AD.SERVER admin_server = YOUR.AD.SERVER } [domain_realm] .YOUR.AD.REALM = YOUR.AD.REALM [logging] kdc = FILE:/var/log/krb5kdc.log admin_server = FILE:/var/log/kadmin.log default = FILE:/var/log/krb5lib.log ``` 请用你的实际服务器地址替换`YOUR.AD.REALM`和`YOUR.AD.SERVER`。 5. 保存并关闭Kerberos配置文件。 6. 重启Samba服务和相关服务,使更改生效: ``` systemctl restart smb systemctl restart winbind ``` 7. 现在,你可以使用以下命令将CentOS 7.9加入Windows AD: ``` net ads join -U username%password ``` 请用你的实际用户名和密码替换`username`和`password`。 8. 输入密码后,执行命令后,如果一切顺利,CentOS便会成功加入Windows AD。 通过按照上述步骤,你可以将CentOS 7.9成功加入Windows AD,并能够与内其他计算机和资源进行集成和通信。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值