下載並安裝PBIS

我們需要從Github中下載PBIS工具，可以使用下面的下載當前版本適用Ubuntu的PBIS工具。
github下載連線為：
Ubuntu 20.04使用PBIS工具加入AD域Ubuntu 20.04使用PBIS工具加入AD域

# 該連結是64位版本的
bob@bob-ubu:~$ wget download/9.1.0/pbis-open-9.1.0.551.linux.x86_64.deb.sh
# 該連線是32位版本的
bob@bob-ubu:~$ wget download/9.1.0/pbis-open-9.1.0.551.linux.x86.deb.sh

下面步驟開始安裝PBIS，安裝很簡單，只需要將下載的檔案新增執行許可權，並執行即可：

bob@bob-ubu:~$ chmod +x pbis-open-9.1.0.551.linux.x86_64.deb.sh
bob@bob-ubu:~$ sudo ./pbis-open-9.1.0.551.linux.x86_64.deb.sh

Ubuntu 20.04使用PBIS工具加入AD域Ubuntu 20.04使用PBIS工具加入AD域

PBIS 相關配置

加入域

PBIS已經安裝成功，下面進入 /opt/pbis/bin目錄，來執行 domainjoin-cli 讓系統加入域吧。

domainjoin-cli join的用法如下：

$ sudo domainjoin-cli join DomainName AdminUser

下面將系統加入到pangzb.com域中：

bob@bob-ubu:/opt/pbis/bin$ cd /opt/pbis/bin/
bob@bob-ubu:/opt/pbis/bin$ sudo domainjoin-cli join pangzb.com administrator

Ubuntu 20.04使用PBIS工具加入AD域Ubuntu 20.04使用PBIS工具加入AD域

DomainName: 是你的域環境的域名
AdminUser: 是域管理員使用者

出現提示時，請提供 Active Directory 管理員的密碼。成功驗證後，PBIS工具會將Ubuntu計算機新增為域的成員。該命令還會在 /etc/hosts 檔案中新增條目。
Ubuntu 20.04使用PBIS工具加入AD域Ubuntu 20.04使用PBIS工具加入AD域
下面圖片中，實在AD域控制器中看到Ubuntu系統已成為域的成員了。

透過 domainjoin-cli query來檢視是否以加入域成功：

bob@bob-ubu:/opt/pbis/bin$ sudo domainjoin-cli query
Name = bob-ubu
Domain = PANGZB.COM
Distinguished Name = CN=BOB-UBU,CN=Computers,DC=pangzb,DC=com
bob@bob-ubu:/opt/pbis/bin$

可以看到主機名、域名、和DN名稱。
Ubuntu 20.04使用PBIS工具加入AD域Ubuntu 20.04使用PBIS工具加入AD域

退出域

如果該計算機想要退出域，則需要使用 leave選項了：

bob@bob-ubu:/opt/pbis/bin$ sudo domainjoin-cli leave

域使用者使用sudo

加入域之後重要的事情是限制域使用者使用sudo命令提權。這可以透過使用 visudo命令新增 %domain^admins ALL=(ALL) ALL來完成，這樣只允許域管理員使用者才能使用sudo命令：

 bob@bob-ubu:~$ sudo visudo
# 開啟之後，在配置檔案中新增如下行
%domain^admins ALL=(ALL) NOPASSWD: ALL

Ubuntu 20.04使用PBIS工具加入AD域Ubuntu 20.04使用PBIS工具加入AD域

其他功能

使用PBIS的有點是，它允許以多種方式自定義登入、域名字首、登入、資料夾名稱等。透過下面功能除錯，可以使域使用者更好的訪問ubuntu系統。

設定預設shell

預設的shell為sh，看起來太單調，在這裡可以設定成bash shell，使用 LoginShellTemplate引數。

bob@bob-ubu:~$ sudo /opt/pbis/bin/config LoginShellTemplate /bin/bash

Ubuntu 20.04使用PBIS工具加入AD域Ubuntu 20.04使用PBIS工具加入AD域
更改為bash shell之後，用與使用者登入的效果：

設定域使用者家目錄資料夾的命名規則

預設域使用者登入之後目錄結構為 /home/local/Domain/User，如果嫌目錄太長，可以修改，使用 HomeDirTemplate引數：

bob@bob-ubu:~$ sudo /opt/pbis/bin/config HomeDirTemplate %H/%U@%D

Ubuntu 20.04使用PBIS工具加入AD域Ubuntu 20.04使用PBIS工具加入AD域
其中 %H參數列示home目錄， %D表示域名， %U表示域使用者名稱， @表示用來分隔的符號。

使用ssh登入域使用者

可以將域使用者和域名之間的 @符號轉義，就可以登入了。

PANGZB\user01@bob-ubu:~$ ssh user01\@pangzb.com@localhost

Ubuntu 20.04使用PBIS工具加入AD域Ubuntu 20.04使用PBIS工具加入AD域

圖形化介面登入域使用者

不需要設定其他，直接輸入域使用者：
Ubuntu 20.04使用PBIS工具加入AD域Ubuntu 20.04使用PBIS工具加入AD域
然後輸入密碼：

即可進入系統啦：

如何重啟PBIS服務

PBIS的守護程式是 lwsmd，該守護程式位於 /opt/pbis/sbin/lwsmd。這個守護程式包括 lsass服務，它處理身份驗證、授權、快取和ldmap查詢。因為身份驗證服務只在啟動時註冊信任，所以在修改信任關係後，應該使用<1lwsm重動 lsass。執行以下命令重啟服務：

bob@bob-ubu:~$ sudo /opt/pbis/bin/lwsm restart lsass

Ubuntu 20.04使用PBIS工具加入AD域Ubuntu 20.04使用PBIS工具加入AD域

如何退出域並解除安裝PBIS

使用下面的命令退出域：

bob@bob-ubu:~$ sudo /opt/pbis/bin/domainjoin-cli leave
Leaving AD Domain:   PANGZB.COM
SUCCESS

Ubuntu 20.04使用PBIS工具加入AD域Ubuntu 20.04使用PBIS工具加入AD域
然後使用自帶的 uninstall.sh來解除安裝乾淨pbis：

bob@bob-ubu:~$ sudo /opt/pbis/bin/uninstall.sh purge

Ubuntu 20.04使用PBIS工具加入AD域Ubuntu 20.04使用PBIS工具加入AD域

域控制器中如何刪除無效的主機

在域控制器中，開啟powershell，輸入如下命令：

# 列出至少1星期沒有啟動的機器，並禁用
dsquery computer -inactive | dsmod computer -disabled yes
# 列出已禁用的主機，並刪除
dsquery computer -disabled | dsrm -noprompt

總結

本文介紹了在Ubuntu中安裝並配置 PowerBroker Identity Services(PBIS)，以便與Windows的域控制器連線在一起。

Ubuntu 20.04使用PBIS工具加入AD域

相關文章