Ingressar Linux facilmente no active diretory do windows

Se você é como eu, que trabalha em um ambiente misto, este tema  é provavelmente muito importante para você. Especialmente se você  também é uma pessoa valoriza a segurança na sua organização, e a administração de contas centralizado é um grande negócio.
Neste tutorial, vou estar passando como aderir a um Ubuntu 14.04 LTS Server para um Windows Active Directory Domain. Além disso, iremos adicionar um novo grupo de domínio para o grupo "sudoers" na caixa para que os nossos Administradores de domínio tenham automaticamente a capacidade de usar o sudo para administrar seus servidores Ubuntu, conforme necessário.
Além disso, também estará fazendo mais fácil para eles fazer o login (sem aposição de domínio para o seu nome de conta de usuário) e dando-lhes a mais shell BASH user-friendly, ao invés do SH padrão.
Todos os comandos referência ao domínio ficcional "CONTOSO.COM" para fazer a sintaxe mais fácil de entender. O controlador de domínio (DC) para o domínio estará em "192.168.0.100". O controlador de domínio que se presume ser a execução de serviços de DNS, pois isso é totalmente integrado com o Active Directory. O nome do administrador de domínio no domínio do Windows é "admin"



 Este guia assume o seguinte:

1. Você tem um Server 2003 ou ambiente de domínio mais recente
2. Você está executando o Ubuntu 13.10 ou superior em seu servidor (que eu estou trabalhando em uma versão 14.04 LTS). Isso pode funcionar em versões mais antigas.
3. Você é, pelo menos, um administrador de domínio ou pode instruir alguém que está a fazer algumas mudanças de domínio.
4. Você tem privilégios de root completo no servidor Ubuntu
Antes do tempo ....
1. Instalar o Ubuntu Server e nomeá-la de forma adequada. Se você quiser que o seu servidor para, finalmente, ser encontrada em linuxserver05.contoso.com então você editar o seu arquivo / etc / hostname para ler "linuxserver05" (sem as aspas).
2. Defina um endereço IP estático em seu servidor Linux. Como parte da configuração não se esqueça de especificar as seguintes linhas (em etc / network / interfaces):

dns-search contoso.com  dns-nameservers 192.168.0.100 ## o endereço IP do controlador de domínio

Ok, vamos lá!
Nós vamos estar usando um pacote de software chamado "Power Broker Identity Services, Open Edition" para simplificar a vida. Os pacotes de download para este serviço pode ser encontrado here: http://download1.beyondtrust.com/Technical-Support/Downloads/PowerBroker-Identity-Services-Open-Edition/?Pass=True
Então a primeira coisa a fazer é entrar, elevar seus privilégios, e usar wget para puxar o arquivo de pacote mais recente para baixo:

sudo -s wget http://download.beyondtrust.com/PBISO/8.0.0.2016/linux.deb.x64/pbis-open-8.0.0.2016.linux.x86_64.deb.sh

Em seguida, é preciso instalar o pacote

chmod a+x pbis-open-8.0.0.2016.linux.x86_64.deb.sh bash pbis-open-8.0.0.2016.linux.x86_64.deb.sh shutdown now -r

"Não" você não precisa "links legado"
O último comando reinicia sua caixa. Uma vez que se trata de volta, faça o login e elevar seus privilégios, então estamos indo para ingressar no domínio e reiniciar novamente ...

Se você fosse como eu e fez algo estúpido ... como nome da conta de administrador local no seu servidor Ubuntu o mesmo que uma conta no domínio do Windows, você precisa mudar o nome que conta o administrador local algo inócuo, antes de fazer qualquer coisa. Eu escrevi um pequeno guia aqui sobre como fazer isso: Mudar usuário de Primeira Usuário

sudo -s /opt/pbis/bin/domainjoin-cli join contoso.com admin@contoso.com shutdown now -r

Uma vez que a caixa de volta para cima novamente, elevar seus privilégios e, em seguida, configurar várias coisas mais ...

sudo -s /opt/pbis/bin/config UserDomainPrefix contoso /opt/pbis/bin/config AssumeDefaultDomain true /opt/pbis/bin/config LoginShellTemplate /bin/bash /opt/pbis/bin/update-dns /opt/pbis/bin/ad-cache --delete-all

Agora, também existe um pequeno erro no PAM (um módulo de autenticação utilizado por PBIS). Precisamos modificar um arquivo de configuração. Você pode fazer isso através do seguinte:
 

vim /etc/pam.d/common-session

Encontre a linha que diz "sessão pam_lsass.so suficiente" e alterá-lo para ler o seguinte:
 

session [sucesso = ok default = ignore] pam_lsass.so

----- OK - pular para o seu Windows Domain Controller e faça login como um administrador de domínio ---
Faça o seguinte:
1. Crie um novo grupo de segurança global chamado "LinuxAdmins" (sem as aspas)
2. Adicione o grupo "Administradores de domínio" built-in para o grupo "LinuxAdmins" recém-criado
----- Volta para o seu UBUNTU BOX ------
Nós precisamos editar o arquivo "sudoers", que é feito via visudo. NANO é o editor de texto padrão. Se você quiser mudar para outra coisa (eu prefiro "vim") use o seguinte comando:

sudo update-alternatives --config editor

Depois de ter escolhido um editor de texto de sua preferência, lançar visudo

visudo

Acrescente esta nova linha na parte inferior do arquivo:

% linuxadmins ALL = (ALL: ALL) ALL

Salvar e fechar ... reiniciar o caixa mais uma vez e, em seguida, tentar um login com suas credenciais de administrador de domínio.
EDIT: Eu tive alguns problemas com a sintaxe no último passo para adicionar o grupo AD para o arquivo sudoers. Aqui está o que ajudou. Faça login como um usuário de domínio no grupo Linuxadmins. Em seguida, execute este comando e examinar a saída:

id

Você deve ver que seu usuário é um membro do grupo "LinuxAdmins" ou um membro do grupo "contoso \ linuxadmins". Se você seguiu o tutorial acima, deve ser a primeira e a sintaxe agora fornecido no tutorial para adicionar ao grupo para os sudoers arquivo deve funcionar.

Isto é porque nós corremos esse comando anterior: / Opt / PBIS / bin / config UserDomainPrefix contoso

O que significa que o sistema assume o "contoso \" na frente de todos os nomes de usuários e nomes de grupos. Se ao executar o comando "id" ele está mostrando o seu nome de domínio na frente do nome do grupo. Sua linha sudoer precisará parecido com este:

% Contoso \\ linuxadmins ALL = (ALL: ALL) ALL

Observe a dupla "\\" - é necessário (não um erro de digitação), no entanto eu não estou indo para ir para o porquê.

---