在本文中，我們將在CentOS 7.9中安裝并配置 PowerBroker Identity Services(PBIS)，以便與Windows的域控制器連接在一起。

下載并安裝PBIS

我們需要從Github中下載PBIS工具，可以使用下面的命令下載當(dāng)前版本適用Ubuntu的PBIS工具。

github下載連接為：https://github.com/BeyondTrust/pbis-open/releases/

# 該鏈接是64位版本的

[root@bob-cen7 ~]# wget https://github.com/BeyondTrust/pbis-open/releases/download/9.1.0/pbis-open-9.1.0.551. linux.x86_64.rpm.sh

展開(kāi)全文

# 該連接是32位版本的

[root@bob-cen7 ~]# wget https://github.com/BeyondTrust/pbis-open/releases/download/9.1.0/pbis-open-9.1.0.551.linux.x86.rpm.sh

下面步驟開(kāi)始安裝PBIS，安裝很簡(jiǎn)單，只需要將下載的文件添加執(zhí)行權(quán)限，并執(zhí)行即可：

[root@bob-cen7 ~]# chmod +x pbis-open-9.1.0.551.linux.x86_64.rpm.sh

[root@bob-cen7 ~]# ./pbis-open-9.1.0.551.linux.x86_64.rpm.sh

PBIS 相關(guān)配置

加入域

PBIS已經(jīng)安裝成功，下面進(jìn)入/opt/pbis/bin目錄，來(lái)執(zhí)行domainjoin-cli命令讓系統(tǒng)加入域吧。

domainjoin-cli join的用法如下：

$ sudo domainjoin-cli join DomainName AdminUser

下面將系統(tǒng)加入到pangzb.com域中：

[root@bob-cen7 ~]# cd /opt/pbis/bin/

[root@bob-cen7 bin]# ./domainjoin-cli join pangzb.com administrator

DomainName: 是你的域環(huán)境的域名

AdminUser: 是域管理員用戶

出現(xiàn)提示時(shí)，請(qǐng)?zhí)峁?Active Directory 管理員的密碼。成功驗(yàn)證后，PBIS工具會(huì)將CentOS計(jì)算機(jī)添加為域的成員。該命令還會(huì)在 /etc/hosts 文件中添加條目。

下面圖片中，實(shí)在AD域控制器中看到CentOS系統(tǒng)已成為域的成員了。

通過(guò)domainjoin-cli query來(lái)查看是否以加入域成功：

[root@bob-cen7 bin]# ./domainjoin-cli query

Name = bob-cen7

Domain = PANGZB.COM

Distinguished Name = CN=BOB-CEN7,CN=Computers,DC=pangzb,DC=com

可以看到主機(jī)名、域名、和DN名稱。

退出域

如果該計(jì)算機(jī)想要退出域，則需要使用leave選項(xiàng)了：

[root@bob-cen7 bin]# ./domainjoin-cli leave

域用戶使用sudo

加入域之后重要的事情是限制域用戶使用sudo命令提權(quán)。這可以通過(guò)使用visudo命令添加%domain^admins ALL=(ALL) ALL來(lái)完成，這樣只允許域管理員用戶才能使用sudo命令：

[root@bob-cen7 bin]# visudo

# 打開(kāi)之后，在配置文件中添加如下行

%domain^admins ALL=(ALL) NOPASSWD: ALL

其他功能

使用PBIS的有點(diǎn)是，它允許以多種方式自定義登錄、域名前綴、登錄shell 、文件夾名稱等。通過(guò)下面功能調(diào)試，可以使域用戶更好的訪問(wèn)CentOS系統(tǒng)。

設(shè)置默認(rèn)shell

默認(rèn)的shell為sh，看起來(lái)太單調(diào)，在這里可以設(shè)置成bash shell，使用LoginShellTemplate參數(shù)。

[root@bob-cen7 ~]# /opt/pbis/bin/config LoginShellTemplate /bin/bash

更改為bash shell之后，用與用戶登錄的效果：

設(shè)置域用戶家目錄文件夾的命名規(guī)則

默認(rèn)域用戶登錄之后目錄結(jié)構(gòu)為/home/local/Domain/User，如果嫌目錄太長(zhǎng)，可以修改 ，使用HomeDirTemplate參數(shù)：

[root@bob-cen7 ~]# /opt/pbis/bin/config HomeDirTemplate %H/%U@%D

其中%H參數(shù)表示home目錄，%D表示域名，%U表示域用戶名，@表示用來(lái)分隔的符號(hào)。

圖形化界面登錄域用戶

使用域用戶登錄，點(diǎn)擊"Not listed?"，然后使用域用戶登錄

不需要設(shè)置其他，直接輸入域用戶：

然后輸入密碼：

即可進(jìn)入系統(tǒng)啦：

使用ssh登錄域用戶

可以將域用戶和域名之間的@符號(hào)轉(zhuǎn)義，就可以登錄了。

[root@bob-cen7 ~]# ssh user02\@pangzb.com@127.0.0.1

如何重啟PBIS服務(wù)

PBIS的守護(hù)進(jìn)程是lwsmd，該守護(hù)進(jìn)程位于/opt/pbis/sbin/lwsmd。這個(gè)守護(hù)進(jìn)程包括lsass服務(wù)，它處理身份驗(yàn)證、授權(quán)、緩存和ldmap查找。因?yàn)樯矸蒡?yàn)證服務(wù)只在啟動(dòng)時(shí)注冊(cè)信任，所以在修改信任關(guān)系后，應(yīng)該使用lwsm重動(dòng) lsass。執(zhí)行以下命令重啟服務(wù)：/lwsm重動(dòng)

lwsm重動(dòng) /lwsm重動(dòng)

[root@bob-cen7 ~]# /opt/pbis/bin/lwsm restart lsass

域控制器中如何刪除無(wú)效的主機(jī)

在域控制器中，打開(kāi)powershell，輸入如下命令：

# 列出至少1星期沒(méi)有啟動(dòng)的機(jī)器，并禁用

dsquery computer -inactive | dsmod computer -disabled yes

# 列出已禁用的主機(jī)，并刪除

dsquery computer -disabled | dsrm -noprompt

總 結(jié)

本文介紹了在CentOS 7.9中安裝并配置 PowerBroker Identity Services(PBIS)，以便與Windows的域控制器連接在一起。

END

官方站點(diǎn)：www.linuxprobe.com

Linux命令大全：www.linuxcool.com

（新群，火熱加群中……）