Интеграция LINUX в Active Directory с помощью PowerBroker Identity Services Open “AD Bridge”

pm-marketectureДля упрощения администрирования (управления) в смешанной IT инфраструктуре (Windows, Linux и пр.) часто выбирают Active Directory в качестве базы данных всех учетных записей. Поэтому логично было бы использовать ее на всех системах, а не только на ОС Windows. Единая аутентификация и авторизация на сетевом оборудовании, операционных системах Linux с помощью Active Directory – не такая уж и непосильная задача. И в этой статье мы расскажем, как подружить ОС Linux с AD. Поможет нам в этом замечательный программный продукт  PowerBroker Identity Services Open “AD Bridge” от BeyondTrust®.

Есть две версии продукта: Enterprise и Open. Для реализации наших задач хватило Open версии, поэтому всё написанное далее будет касаться её.
Получить Open версию можно на сайте производителя: PowerBroker Identity Services Open “AD Bridge”
Существуют 32-х и 64-х пакеты в форматах rpm и deb (а также пакеты для OS X, AIX, FreeBSD, SOlaris, HP-UX). Мы устанавливали на CentOS 6.6 86×64. И так, пошаговая инструкция:

  • Download PBIS
  • Chmod and Install:

    wget http://download.beyondtrust.com/…/…/linux.rpm.x64/pbis-open-8.2.1.2979.linux.x86_64.rpm.sh & chmod +x pbis-open-8.2.1.2979.linux.x86_64.rpm.sh                         ./pbis-open-8.2.1.2979.linux.x86_64.rpm.sh

  • Создаем глобальную группу безопасности в Active Directory: sg-unix-admins (группа для администраторов Linux) и учетную запись s-unix-ad-bridge (для ввода в домен компьютеров с ОС Linux)
  • На сервере\компьютере с ОС Linux прописываем ДНС сервер, обслуживающий наш домен.
  • Вводим в домен сервер\компьютер с ОС Linux и установленным PBIS:

     /opt/pbis/bin/domainjoin-cli join DOMAIN.LOCAL  s-unix-ad-bridge

    (предварительно проверяем разрешение в IP имени домена –

    ping DOMAIN.LOCAL

    ) – при запросе вводим пароль учетной записи s-unix-ad-bridge 

  • Убеждаемся что предыдущее действие закончилось со статусом “Success’ 🙂
  • Добавляем необходимые опции в конфигурацию – /opt/pbis/bin/config %SETTINGS% %VALUE%:

    /opt/pbis/bin/config AssumeDefaultDomain true

    /opt/pbis/bin/config UserDomainPrefix “DOMAIN”

    /opt/pbis/bin/config UserNotAllowedError “Access denied for this AD User”

    /opt/pbis/bin/config RequireMembershipOf “DOMAIN\\sg-unix-admins”

  • Настраиваем доступ к SUDO для группы sg-unix-admins – добавляем строку в конфигурацию через visudo:

    %sg-unix-admins  ALL=(ALL) NOPASSWD: ALL

Перезагружаемся и проверяем 😉

При написании использовались следующие материалы:

Linux в домене Active Directory
Интеграция Linux-серверов с Active Directory
PowerBroker®  Servers Enterprise
PowerBroker®
Servers Enterprise

Добавить комментарий

Этот сайт использует Akismet для борьбы со спамом. Узнайте как обрабатываются ваши данные комментариев.