在本文中，我們將在CentOS 7.9中安裝并配置 PowerBroker Identity Services(PBIS)，以便與Windows的域控制器連接在一起。

下載并安裝PBIS

我們需要從Github中下載PBIS工具，可以使用下面的命令下載當前版本適用Ubuntu的PBIS工具。

github下載連接為：https://github.com/BeyondTrust/pbis-open/releases/

# 該鏈接是64位版本的

[root@bob-cen7 ~]# wget https://github.com/BeyondTrust/pbis-open/releases/download/9.1.0/pbis-open-9.1.0.551. linux.x86_64.rpm.sh

展開全文

# 該連接是32位版本的

[root@bob-cen7 ~]# wget https://github.com/BeyondTrust/pbis-open/releases/download/9.1.0/pbis-open-9.1.0.551.linux.x86.rpm.sh

下面步驟開始安裝PBIS，安裝很簡單，只需要將下載的文件添加執(zhí)行權限，并執(zhí)行即可：

[root@bob-cen7 ~]# chmod +x pbis-open-9.1.0.551.linux.x86_64.rpm.sh

[root@bob-cen7 ~]# ./pbis-open-9.1.0.551.linux.x86_64.rpm.sh

PBIS 相關配置

加入域

PBIS已經(jīng)安裝成功，下面進入/opt/pbis/bin目錄，來執(zhí)行domainjoin-cli命令讓系統(tǒng)加入域吧。

domainjoin-cli join的用法如下：

$ sudo domainjoin-cli join DomainName AdminUser

下面將系統(tǒng)加入到pangzb.com域中：

[root@bob-cen7 ~]# cd /opt/pbis/bin/

[root@bob-cen7 bin]# ./domainjoin-cli join pangzb.com administrator

DomainName: 是你的域環(huán)境的域名

AdminUser: 是域管理員用戶

出現(xiàn)提示時，請?zhí)峁?Active Directory 管理員的密碼。成功驗證后，PBIS工具會將CentOS計算機添加為域的成員。該命令還會在 /etc/hosts 文件中添加條目。

下面圖片中，實在AD域控制器中看到CentOS系統(tǒng)已成為域的成員了。

通過domainjoin-cli query來查看是否以加入域成功：

[root@bob-cen7 bin]# ./domainjoin-cli query

Name = bob-cen7

Domain = PANGZB.COM

Distinguished Name = CN=BOB-CEN7,CN=Computers,DC=pangzb,DC=com

可以看到主機名、域名、和DN名稱。

退出域

如果該計算機想要退出域，則需要使用leave選項了：

[root@bob-cen7 bin]# ./domainjoin-cli leave

域用戶使用sudo

加入域之后重要的事情是限制域用戶使用sudo命令提權。這可以通過使用visudo命令添加%domain^admins ALL=(ALL) ALL來完成，這樣只允許域管理員用戶才能使用sudo命令：

[root@bob-cen7 bin]# visudo

# 打開之后，在配置文件中添加如下行

%domain^admins ALL=(ALL) NOPASSWD: ALL

其他功能

使用PBIS的有點是，它允許以多種方式自定義登錄、域名前綴、登錄shell 、文件夾名稱等。通過下面功能調(diào)試，可以使域用戶更好的訪問CentOS系統(tǒng)。

設置默認shell

默認的shell為sh，看起來太單調(diào)，在這里可以設置成bash shell，使用LoginShellTemplate參數(shù)。

[root@bob-cen7 ~]# /opt/pbis/bin/config LoginShellTemplate /bin/bash

更改為bash shell之后，用與用戶登錄的效果：

設置域用戶家目錄文件夾的命名規(guī)則

默認域用戶登錄之后目錄結(jié)構為/home/local/Domain/User，如果嫌目錄太長，可以修改 ，使用HomeDirTemplate參數(shù)：

[root@bob-cen7 ~]# /opt/pbis/bin/config HomeDirTemplate %H/%U@%D

其中%H參數(shù)表示home目錄，%D表示域名，%U表示域用戶名，@表示用來分隔的符號。

圖形化界面登錄域用戶

使用域用戶登錄，點擊"Not listed?"，然后使用域用戶登錄

不需要設置其他，直接輸入域用戶：

然后輸入密碼：

即可進入系統(tǒng)啦：

使用ssh登錄域用戶

可以將域用戶和域名之間的@符號轉(zhuǎn)義，就可以登錄了。

[root@bob-cen7 ~]# ssh user02\@pangzb.com@127.0.0.1

如何重啟PBIS服務

PBIS的守護進程是lwsmd，該守護進程位于/opt/pbis/sbin/lwsmd。這個守護進程包括lsass服務，它處理身份驗證、授權、緩存和ldmap查找。因為身份驗證服務只在啟動時注冊信任，所以在修改信任關系后，應該使用lwsm重動 lsass。執(zhí)行以下命令重啟服務：/lwsm重動

lwsm重動 /lwsm重動

[root@bob-cen7 ~]# /opt/pbis/bin/lwsm restart lsass

域控制器中如何刪除無效的主機

在域控制器中，打開powershell，輸入如下命令：

# 列出至少1星期沒有啟動的機器，并禁用

dsquery computer -inactive | dsmod computer -disabled yes

# 列出已禁用的主機，并刪除

dsquery computer -disabled | dsrm -noprompt

總 結(jié)

本文介紹了在CentOS 7.9中安裝并配置 PowerBroker Identity Services(PBIS)，以便與Windows的域控制器連接在一起。

END

官方站點：www.linuxprobe.com

Linux命令大全：www.linuxcool.com

（新群，火熱加群中……）