Ввод Ubuntu в домен  с помощью PowerBroker Identity

РАБОТАЕТ ТОЛЬКО С SAMBA 3!!

В прошлой статье мы рассмотрели как поднять контроллер домена на ubuntu. Сейчас мы с вами разберемся, как ввести ubuntu в домен. Есть длинный путь, когда все делается вручную. Однако, совсем недавно, я узнал что существует специальное по – PBIS Open, которое избавляет нас от рутиной работы. Это очень актульно, если машин с ubuntu много. Итак PBIS Open – это софт, который позволяет автоматизировать ввод машины с linux(ubuntu в домен)  Данный продукт PowerBroker Identity Services также известен также под именем Likewise. Итак, не вдаваясь в подробности, перейдем к процессу ввода  в active directory  машину с linux.

Есть две версии продукта: Enterprise и Open.  для реализации  задач  нам хватит Open версии, поэтому всё написанное далее будет касаться только её.

ШАГ 1. Подготовка

Сначала нужно сделать несколько подготовительных вещей.
1. Убедиться что имя локального пользователя Ubuntu не совпадает с именем доменного админа.
2. Прописать DNS и DNS-суффикс в настройках сетевого соединения. В новых версиях Ubuntu эти параметры задаются для сетевых интерфейсов и прописываются в /etc/network/interfaces.

# The primary network interface
auto eth0
iface eth0 inet static
address 192.168.0.201
netmask 255.255.255.0
gateway 192.168.0.45
dns-nameservers 192.168.0.45 192.168.0.1
dns-domain avanpost.local
dns-search avanpost.local

ШАГ 2. Установка

Скачиваем

wget https://download.beyondtrust.com/PBISO/8.0.1/linux.deb.x64/pbis-open-8.0.1.2029.linux.x86_64.deb.sh

Затем делаем файл исполняемым

sudo chmod +x pbis-open-8.0.1.2029.linux.x86_64.deb.sh

sudo ./pbis-open-8.0.1.2029.linux.x86_64.deb.sh

ШАГ 3. Настраиваем

Обязательно удалите этот демон – иначе не пустит в систему

sudo apt-get remove avahi-daemon

Используем софт для ввода машины в домен:
В терминале :

cd /opt/likewise/bin/
 sudo domainjoin-cli join --disable ssh $domainname $domainaccount

*где domainname = имя вашего домена и domainaccount = user@domainname.###

Пример: sudo domainjoin-cli join --disable ssh AVANPOST.LOCAL administrator@AVANPOST.LOCAL

*обязательно имя домена пишем с ВЕРХНИМ РЕГИСТРОМ!!!!!!

При запросе пароля поставить соответствующие учетные данные , и вы должны получить “SUCCESS” подсказку , когда закончите.
Настройка конфига для доменных пользователей
Используйте PBIS для преднастройки среды для всех доменных пользователей для входа во вновь созданную среду.
Из терминала:

sudo /opt/pbis/bin/config UserDomainPrefix $domain
 sudo /opt/pbis/bin/config AssumeDefaultDomain true
 sudo /opt/pbis/bin/config LoginShellTemplate /bin/bash
 sudo /opt/pbis/bin/config HomeDirTemplate %H/%U
 sudo /opt/pbis/bin/config RequireMembershipOf "$domain\\$securitygroup"

Отредактируем pamd.d common-session file
 Из терминала:

sudo nano /etc/pam.d/common-session

Найдите строку с

session sufficient pam_lsass.so

Замените ее

session [success=ok default=ignore] pam_lsass.so

Отредактируем конфига для отключения режима гостя(иначе система не заработает)

sudo nano /usr/share/lightdm/lightdm.conf.d/60-unity-greeter.conf(для unity)

sudo nano /usr/share/lightdm/lightdm.conf.d/60-lightdm-gtk-greeter.conf(для других ДМ)

allow-guest=false
 greeter-show-manual-login=true

*Для Ubuntu ниже 14.04 редактирем файл: 50-lightdm-gtk-greeter.conf

Дадим админку пользователям и группам

Из терминала:

sudo nano /etc/sudoers

ПРимер:

administrator ALL=(ALL:ALL) ALL

Перезагрузимся и войдем

PROFIT!!!!