🗾 🚥 🏏 सक्रिय निर्देशिका डोमेन में लिनक्स 📈 👨🏼‍🚀 ↙️

व्यवस्थापक को कभी-कभी लिनक्स सर्वर और वर्कस्टेशन को सक्रिय निर्देशिका डोमेन वातावरण में एकीकृत करने की चुनौती का सामना करना पड़ता है। आमतौर पर आवश्यक:
1. डोमेन उपयोगकर्ताओं के लिए लिनक्स सर्वर पर सेवाओं तक पहुंच प्रदान करें।
2. अपने डोमेन क्रेडेंशियल्स के तहत लिनक्स पर प्रशासक सर्वर लॉन्च करें।
3. डोमेन उपयोगकर्ताओं के लिए एक लिनक्स वर्कस्टेशन लॉगिन सेट करें, और यह सलाह दी जाती है कि वे एक ही समय में एसएसओ के सभी आकर्षण का स्वाद ले सकते हैं (उदाहरण के लिए, मैं वास्तव में अपना लॉन्ग-पासवर्ड अक्सर दर्ज करना पसंद नहीं करता)।

आमतौर पर, सिस्टम को लिनक्स प्रदान करने के लिए, सक्रिय निर्देशिका डोमेन से उपयोगकर्ता और समूह विंडपिंड का उपयोग करते हैं या एलडीएपी प्रोटोकॉल का उपयोग करके सक्रिय निर्देशिका डोमेन नियंत्रक के साथ काम करने के लिए एनएसएस पुस्तकालयों को कॉन्फ़िगर करते हैं। लेकिन आज हम एक अलग रास्ता अपनाएंगे : हम पावरब्रोकर आइडेंटिटी सर्विसेज (उत्पाद को इसी तरह से जाना जाता है) का उपयोग करेंगे।

स्थापना।

उत्पाद के दो संस्करण हैं: एंटरप्राइज और ओपन। मेरे कार्यों को लागू करने के लिए, ओपन संस्करण मेरे लिए पर्याप्त था, इसलिए नीचे लिखा गया सब कुछ इसके साथ संबंधित होगा।
आप निर्माता की वेबसाइट पर ओपन संस्करण प्राप्त कर सकते हैं, लेकिन आपके नाम, कंपनी के नाम और ई-मेल के बदले में एक लिंक प्रदान किया जाएगा।
आरपीएम और डिबेट फॉर्मेट में 32 और 64 पैकेज हैं। (साथ ही साथ OS X, AIX, FreeBSD, SOlaris, HP-UX के लिए पैकेज)
स्रोत (ओपन संस्करण) git रिपॉजिटरी में उपलब्ध हैं: git: //source.pbis.beyondtrust.com/pbis.git
मैंने डेबियन व्हीज़ी एमड64 पर PBIS स्थापित किया:

wget http://download.beyondtrust.com/PBISO/7.1.0/1203/pbis-open-7.1.0.1203.linux.x86_64.deb.sh ./pbis-open-7.1.0.1203.linux.x86_64.deb.sh

पैकेज की सामग्री / ऑप्ट / pbis में स्थापित हैं। इसके अलावा, सिस्टम पर एक नया रनस्क्रिप्ट lwsmd दिखाई देता है, जो वास्तव में PBIS एजेंट लॉन्च करता है।
PAM मॉड्यूल pap_lsass.so को सिस्टम में जोड़ा जाता है।
PBIS के कामकाज के लिए आवश्यक उपयोगिताएँ (ज्यादातर कंसोल), साथ ही साथ प्रशासक के लिए जीवन को आसान बनाने, / ऑप्ट / pbis / बिन में स्थित हैं

डोमेन में प्रवेश करना।

डोमेन में प्रवेश करने से पहले, सुनिश्चित करें कि पहुंच नियंत्रक और डोमेन नाम सही ढंग से आईपी पर तैनात हैं। (अन्यथा, resolv.conf कॉन्फ़िगर करें)
डोमेन में प्रवेश करने के लिए दो कमांड दिए गए हैं: / ऑप्ट / pbis / bin / domainjoin-cli और / opt / pbis / bin / domainjoin-gui। उनमें से एक कमांड लाइन पर काम करता है, दूसरा ग्राफ़िकल इंटरफ़ेस प्रदर्शित करने के लिए libgtk का उपयोग करता है।
डोमेन में प्रवेश करने के लिए आपको निर्दिष्ट करना होगा: डोमेन नाम, उपयोगकर्ता नाम और पासवर्ड उपयोगकर्ता के पास अधिकार के साथ डोमेन को पीसी में दर्ज करने के लिए, डोमेन में कंप्यूटर ऑब्जेक्ट को रखने के लिए कंटेनर - पीसी विंडोज डोमेन में प्रवेश करते समय सभी समान।

डोमेन में प्रवेश करने के बाद, एक रिबूट की आवश्यकता होती है।
कृपया ध्यान दें - PBIS सक्रिय निर्देशिका साइटों के साथ काम कर सकता है। PBIS क्लाइंट उस साइट के नियंत्रकों के साथ काम करेगा जिसमें यह स्थित है!

रिबूट के बाद।

रिबूट के बाद, आईडी और गेटेंट दोनों आपको उपयोगकर्ता और डोमेन के समूह प्रदान करेंगे (राष्ट्रीय वर्णों को सही ढंग से संसाधित किया गया है। रिक्त स्थान "^" के साथ बदल दिए गए हैं)।
डोमेन DNS ज़ोन में, आपके पीसी के नाम के साथ एक प्रविष्टि दिखाई देती है।
एक डोमेन उपयोगकर्ता के रूप में लॉग इन करने के लिए जल्दी मत करो। सबसे पहले यह PBIS को कॉन्फ़िगर करने के लिए समझ में आता है (लेकिन आवश्यक नहीं)।

 /opt/pbis/bin/config --list

उपलब्ध विकल्पों को सूचीबद्ध करेगा।

  [Eventlog]
         AllowDeleteTo
         AllowReadTo
         AllowWriteTo
         MaxDiskUsage
         MaxEventLifespan
         MaxNumEvents
 [LSASS]
         DomainSeparator
         SpaceReplacement
         EnableEventlog
         LogInvalidPasswords
         प्रदाताओं
 [लेस्स - PAM]
         DisplayMotd
         PAMLogLevel
         UserNotAllowedError
 [Lassass - सक्रिय निर्देशिका प्रदाता]
         AssumeDefaultDomain
         CreateHomeDir
         CreateK5Login
         SyncSystemTime
         TrimUserMembership
         LdapSignAndSeal
         LogADNetworkConnectionEvents
         NssEnumerationEnabled
         NssGroupMembersQueryCacheOnly
         NssUserMembershipQueryCacheOnly
         RefreshUserCredentials
         CacheEntryExpiry
         DomainManagerCheckDomainOnlineInterval
         DomainManagerUnknownDomainCacheTimeout
         MachinePasswordLifespan
         MemoryCacheSizeCap
         HomeDirPrefix
         HomeDirTemplate
         RemoteHomeDirTemplate
         HomeDirUmask
         LoginShellTemplate
         SkeletonDirs
         UserDomainPrefix
         DomainManagerIgnoreAllTrusts
         DomainManagerIncludeTrustsList
         DomainManagerExcludeTrustsList
         RequireMembershipOf
         SmartcardEnabled
         SmartcardRequiredForLogin
 [Lassass - स्थानीय प्रदाता]
         Local_AcceptNTLMv1
         Local_HomeDirTemplate
         Local_HomeDirUmask
         Local_LoginShellTemplate
         Local_SkeletonDirs
 [उपयोगकर्ता मॉनिटर]
         UserMonitorCheckInterval
 [सिस्टम इनिशियलाइज़ेशन]
         LsassAutostart
         EventlogAutostart
         GpagentAutostart

एंटरप्राइज़ संस्करण के बीच अंतरों में से एक GPO के माध्यम से इन सेटिंग्स को प्रबंधित करने की क्षमता है।
यह HomeDirPrefix, HomeDirTemplate पर ध्यान देने योग्य है।
मैंने अभी भी "EssentialMembershipOf" सेट किया है - केवल उपयोगकर्ता, समूह के सदस्य या इस सूची के SID कंप्यूटर में लॉग इन कर सकते हैं।
उदाहरण के लिए, प्रत्येक पैरामीटर का विवरण प्राप्त किया जा सकता है:

 /opt/pbis/bin/config --detail RequireMembershipOf

पैरामीटर मान इस तरह के उदाहरण के लिए सेट किया गया है:

 /opt/pbis/bin/config RequireMembershipOf "^Linux"

कृपया ध्यान दें - पीबीआईएस उपयोगकर्ता लॉगिन को प्राप्त करने के लिए एसएफयू विशेषताओं या एसराइव निर्देशिका के अन्य विशेषताओं का उपयोग नहीं करता है, साथ ही साथ इसके यूआईडी और जीआईडी भी।
डोमेन उपयोगकर्ताओं के लिए लॉगिनशिल पीबीआईएस सेटिंग्स में सेट किया गया है, और अलग-अलग उपयोगकर्ताओं के लिए अलग-अलग लॉगिन सेट करना केवल एंटरप्राइज़ संस्करण में संभव है।
यूआईडी का गठन उपयोगकर्ता के SID के हैश के रूप में किया जाता है।
gid - उपयोगकर्ता के प्राइमरीग्रुप SID के हैश के रूप में।
इस प्रकार, दो पीसी पर, उपयोगकर्ता को हमेशा एक ही यूआईडी और जीआईडी मिलेगा।

अब आप एक डोमेन उपयोगकर्ता के रूप में लॉग इन कर सकते हैं। डोमेन उपयोगकर्ता में प्रवेश करने के बाद, किलिस्ट के आउटपुट पर ध्यान दें - पीबीआईएस को उपयोगकर्ता के लिए आवश्यक केर्बरोस टिकट प्राप्त होंगे। उसके बाद, आप विंडोज़ पीसी पर निर्बाध रूप से संसाधनों का उपयोग कर सकते हैं (मुख्य बात यह है कि इस्तेमाल किया गया सॉफ्टवेयर जीएसएसएपीआई का समर्थन करता है)। उदाहरण के लिए: अब मेरे पास कोई अतिरिक्त पासवर्ड अनुरोध नहीं है (और मेरा पासवर्ड कहीं भी सहेजा नहीं गया है!) मैं डॉल्फिन में किसी भी डोमेन smb संसाधनों को खोलता हूं। इसके अलावा, फ़ायरफ़ॉक्स (नेटवर्क सेट करते समय। नेटवर्क-क्रोस.ट्रस्टेड-यूरिस) आपको डोमेन प्राधिकरण के साथ वेब पोर्टल्स तक पहुंचने पर एसएसओ का उपयोग करने की अनुमति देता है (स्वाभाविक रूप से, अगर एसएसओ सर्वर पर कॉन्फ़िगर किया गया है)

लेकिन लिनक्स पीसी पर संसाधनों तक पहुंचने के दौरान एसएसओ के बारे में क्या?

यह संभव है और ऐसा है! PBIS /etc/krb5.keytab को आबाद करता है और इसे अद्यतित रखता है। इसलिए, GSSAPI समर्थन वाले सर्वर सॉफ़्टवेयर को SSO के लिए कॉन्फ़िगर किया जा सकता है।
उदाहरण के लिए, कॉन्फ़िगरेशन फ़ाइल / etc / ssh / sshd_config में ssh के माध्यम से सर्वर तक पहुँचने के लिए (आपके सिस्टम का पथ भिन्न हो सकता है)

 GSSAPIAuthentication yes

और कनेक्ट करते समय, कंप्यूटर का डोमेन नाम निर्दिष्ट करें (इसके एसपीएन में मौजूद - अन्यथा केरबरोस टिकट जारी नहीं किया जा सकता)
UsePAM हाँ

(PBIS PAM सहित एक मॉड्यूल प्रदान करता है)
"AllowGroups" निर्देश को जोड़ना और उन डोमेन समूहों को निर्दिष्ट करना भी तर्कसंगत होगा, जिनके उपयोगकर्ताओं को आप ssh सर्वर के लिए एक स्थान के साथ एक्सेस देने का इरादा रखते हैं।

लिनक्स क्लाइंट पीसी पर, ssh क्लाइंट कॉन्फ़िगरेशन शामिल करने के लिए पर्याप्त है:

 GSSAPIAuthentication yes

स्वाभाविक रूप से, Kerberos को लिनक्स क्लाइंट कंप्यूटर पर कॉन्फ़िगर किया जाना चाहिए। इस शर्त को पूरा करने का सबसे सरल तरीका क्लाइंट कंप्यूटर को डोमेन में दर्ज करना और डोमेन उपयोगकर्ता की ओर से काम करना है।

कनेक्शन के SSH गुणों में विंडोज क्लाइंट पीसी (डोमेन सदस्य) पर पुट्टी का उपयोग करते समय, ध्वज को "प्रयास GSSAPI प्रमाणीकरण (SSH-2 केवल)" सेट करें (यह आइटम अलग-अलग संस्करणों में अलग-अलग कहा जाता है)।

इसके अलावा, कनेक्शन -> डेटा अनुभाग में, आप स्विच को "सिस्टम उपयोगकर्ता नाम का उपयोग करें" स्थिति में रख सकते हैं

यदि आप इस तरह से linux server के लिए एडमिनिस्ट्रेटर के लिए ssh एक्सेस को व्यवस्थित करने का इरादा रखते हैं, तो ssh पर रूट लॉगिन को रोकना और sudoers फाइल में linux एडमिनिस्ट्रेटर (और इससे भी बेहतर उनके डोमेन ग्रुप) को जोड़ना एक अच्छा विचार है।

ये PBIS का उपयोग करने के लिए एकमात्र परिदृश्य नहीं हैं। यदि लेख आपको दिलचस्प लगता है - अगले लेख में मैं लिखूंगा कि बिना winindind के डोमेन उपयोगकर्ताओं के लिए एक डोमेन में सांबा फ़ाइल सर्वर को कैसे व्यवस्थित किया जाए।

विषय पर अधिक जानकारी के लिए, पॉवरब्रोकर आइडेंटिटी सर्विसेज कम्युनिटी फोरम: forum.beyondtrust.com पर जाएं

यूपीडी पावरब्रोकर पहचान सेवाओं के लाभों में शामिल हैं:

अच्छी पुनरावृत्ति (इस आलेख में चरणों की तुलना विंडबिन्द सेटअप निर्देशों के साथ करें)
एक निर्देशिका से डेटा कैशिंग (एक डोमेन उपयोगकर्ता पीसी पर लॉग ऑन कर सकता है जब डोमेन उपलब्ध नहीं है, अगर इसकी क्रेडेंशियल्स कैश में हैं)
PBIS को AD निर्देशिका में अतिरिक्त उपयोगकर्ता विशेषताओं के गठन की आवश्यकता नहीं होती है
PBIS AD साइटों को समझता है और अपने साइट नियंत्रकों के साथ काम करता है।
ग्रेटर सुरक्षा (सांबा एक गैर-निष्कासित पासवर्ड वाला एक कंप्यूटर खाता बनाता है)
भुगतान किए गए संस्करण में (यदि ऐसी कोई आवश्यकता होती है), PBIS एजेंट को GPO के माध्यम से प्रबंधित किया जाता है (हालांकि इसे हटाया जा सकता है, यदि आप इसे खरीदने का इरादा नहीं रखते हैं)

UPD 2 फीडबैक उपयोगकर्ता sdemon72 से आया है। शायद कोई उपयोगी होगा।

आपका स्वागत है! मैंने आपकी रेसिपी को फ्रेश लिनेनमिंट-18-मेट -64 बिट पर आजमाया, कुछ चीज़ों के साथ काम किया:
1. मुझे साइट के माध्यम से कार्यक्रम प्राप्त करने में कठिनाई हुई (मैं असली फोन नंबर नहीं लिखना चाहता था, लेकिन मैंने एक नकली नहीं भेजा - मुझे इसके बारे में संदेह के साथ एक पत्र मिला), लेकिन मुझे नवीनतम संस्करणों के साथ एक रिपॉजिटरी मिली: repo.pbis.beyondtrust.com/apt। एचटीएमएल
2. कार्यक्रम शुरू करते समय, यह त्रुटियां देता है, उनसे बचने के लिए, आपको शुरू करने से पहले निम्नलिखित करने की आवश्यकता है:
2.1। Ssh स्थापित करें:
sudo apt-get install ssh
2.2। फिक्स /etc/nsswitch.conf:
होस्ट: फाइलें dd mdns4_minimal [NOTFOUND = return]
(यानी लाइन के अंत से दूसरे स्थान पर स्थानांतरण डीएनएस)
2.3। फिक्स /etc/NetworkManager/NetworkManager.conf:
# dns = dnsmasq
(यानी इस लाइन पर टिप्पणी)
2.4। नेटवर्क प्रबंधक को पुनरारंभ करें:
sudo सेवा नेटवर्क-प्रबंधक पुनरारंभ

उसके बाद, सब कुछ एक धमाके के साथ काम किया! यदि आप इन अतिरिक्त लेखों को बनाते हैं, तो मैं बहुत आभारी रहूंगा किसी विषय की खोज में, यह पहली पंक्तियों में आता है। मैं टिप्पणियों को नहीं छोड़ सकता (साइट को मना करता हूं), इसलिए मैं आपको व्यक्तिगत रूप से लिखता हूं।

अगर दिलचस्पी है - मेरे शोध की कहानी यहाँ: linuxforum.ru/topic/40209

सादर, दिमित्री

UPD 3: पीबीआईएस का मुफ्त संस्करण एक बड़ी कंपनी में क्यों नहीं लगाया जा सकता है
मुक्त संस्करण में, डोमेन उपयोगकर्ता के SID कार्यों के लिए केवल एक UNIX iD (uid और gid) जेनरेशन अल्गोरिथम है। तो यह विशिष्टता प्रदान नहीं करता है
ये पहचानकर्ता। जब आपके पास बहुत पुराना डोमेन या सिर्फ बहुत सारे उपयोगकर्ता हैं, तो जोखिम बहुत अधिक है कि दो या दो से अधिक उपयोगकर्ताओं को OpenPBIS वाले सिस्टम में समान पहचानकर्ता मिलेंगे। भुगतान किए गए संस्करण में, आप आईडी पीढ़ी के एल्गोरिदम के बीच चयन कर सकते हैं, लेकिन क्वेस्ट सॉफ़्टवेयर से एक समान उत्पाद की तुलना में इसकी लागत काफी अधिक है; (

सक्रिय निर्देशिका डोमेन में लिनक्स

स्थापना।

डोमेन में प्रवेश करना।

रिबूट के बाद।

लेकिन लिनक्स पीसी पर संसाधनों तक पहुंचने के दौरान एसएसओ के बारे में क्या?

More articles: