Unir un client Linux a un domini Windows
Last updated
Last updated
Hi ha moltes formes d'unir un client Linux a un domini Windows amb Active Directory, però una de les més senzilles és utilitzar un programa que s'encarregui de fer la major part de la configuració del sistema en lloc de fer-ho manualment.
En versions més antigues d'Ubuntu Desktop podem trobar en els mateixos repositoris d'Ubuntu el paquet Likewise Open, però actualment l'empresa Beyond Trust s'ha encarregat d'actualitzar-lo i li ha canviat el nom per PBIS Open.
Es pot trobar tota la documentació sobre PBIS a la .
ATENCIÓ: en Ubuntu, quan es vol connectar amb un domini de tipus .local, s'ha de canviar una línia del fitxer
/etc/avahi/avahi-daemon.conf:
I reiniciem el servei:
sudo service avahi-daemon restart
Per motius de seguretat, el programa PBIS Open utilitza ssh per comunicar-se amb el servidor de forma encriptada, i necessita que estigui instal·lat el servei de ssh en el client:
sudo apt install ssh
Si no es disposa d'un entorn gràfic amb navegador, també es pot descarregar mirant l'adreça de l'enllaç adequat i utilitzant la comanda wget - canvia els X.X.X per número adequat -:
També es pot instal·lar PBIS Open mitjançant APT seguin les següents instruccions:
Per instal·lar-lo, primer se li han de donar permisos d'execució a l'arxiu descarregat.
chmod a+x pbis-open-X.X.X.X.linux.x86_64.deb.sh
Després ja es pot executar amb la següent comanda (cal respondre sempre yes):
sudo ./pbis-open-X.X.X.X.linux.x86_64.deb.sh
ATENCIÓ: encara que s'obri una finestra per connectar al domini, abans s'ha de comprovar que el servei lwsmd es reinicia correctament, i després reiniciar el sistema:
Amb la comanda pbis status es pot comprovar l'estat del servei:
Amb la comanda domainjoin-cli query per verificar, de manera més simple, l'arrel d'accés al domini del client connectat:
Per canviar la configuració de PBIS s'utilitza la comanda /opt/pbis/bin/config.
Amb els paràmetres --list i --dump es poden veure tot els paràmetres que es poden configurar i quins valors tenen actualment:
Canviar el shell (intèrpret de comandes) per defecte que utilitzaran els usuaris
sudo /opt/pbis/bin/config LoginShellTemplate /bin/bash
Canviar el directori de treball dels usuaris
Amb la següent comanda s'aconsegueix que el directori personal d'un usuari del domini sigui /home/ADXXX/usuari:
sudo /opt/pbis/bin/config HomeDirTemplate %H/%D/%U
Obligar a posar el prefix del domini per validar els usuaris
sudo /opt/pbis/bin/config AssumeDefaultDomain false
Forçar la creació del directori d'usuari
Com passa quan al configurar-lo per un sistema amb LDAP a GNU/Linux, farem servir la comanda:
sudo pam-auth-update
Per obrir la interfície gràfica cal executar la següent comanda:
sudo /opt/pbis/bin/domainjoin-gui
Nom del domini: adxxx.local
Deshabilitar l'opció Enable default user name prefix
Quan es faci clic a l'opció Join Domain demanarà el nom d'un usuari que pugui unir màquines al domini (normalment l'administrador del domini) i la seva contrasenya.
ATENCIÓ: si no es desmarca l'opció Enable default user name prefix es podran validar usuaris sense haver de posar el prefix ADXXX\ o el sufix @adxxx.local, però pot portar a confusió si existeixen usuaris locals amb el mateix nom que usuaris del domini.
Ha de sortir el missatge SUCCESS si s'ha unit correctament al domini.
Cal reiniciar el sistema per poder validar usuaris de l'Active Directory.
Al executar la següent comanda, demanarà la contrasenya de l'usuari administrador del domini.
sudo /opt/pbis/bin/domainjoin-cli join adxxx.local administrador
Ha de sortir el missatge SUCCESS si s'ha unit correctament al domini.
Cal reiniciar el sistema per poder validar usuaris de l'Active Directory.
Comprovar que el sistema pot mostrar els usuaris del domini Amb les comandes getent passwd i getent group es poden veure els usuaris del sistema:
Els usuaris i grups del domini apareixen amb el nom NetBIOS del domini al davant: ADXXX\usuari o ADXXX\grup.
Es poden utilitzar els mateixos formats que s'utilitzen en Windows:
ADXXX\usuari
usuari@adxxx.local
Si s'utilitza la primera forma quan es valida des de la consola, és possible que calgui posar doble contrabarra (\) entre el nom del domini i el nom d'usuari:
Mode gràfic (deprecated)
sudo /opt/pbis/bin/domainjoin-gui leave
En el diàleg que apareixerà, només cal comprovar que les dades siguin correctes (nom de la màquina i el domini) i clicar el botó Leave Domain.
Amb comandes
sudo /opt/pbis/bin/domainjoin-cli leave
Per desinstal·lar el programa després de desconnectar la màquina del domini:
sudo /opt/pbis/bin/uninstall.sh uninstall
ATENCIÓ: abans d'utilitzar la comanda anterior, s'ha d'haver desconnectat la màquina del domini. A més, s'ha d'executar des de qualsevol carpeta que no sigui (o estigui dins de) la carpeta de pbis per tal que el programa de desinstal·lació pugui esborrar la carpeta.
Amb la següent comanda es pot desinstal·lar i esborrar completament el programa sense haver de desconnectar la màquina del domini:
sudo /opt/pbis/bin/uninstall.sh purge
Si cal, també s'hauran de canviar els servidors DNS i eliminar el domini de cerca.
En un client Linux, descarregar el paquet PBIS Open que es pot trobar en aquesta web: .
Descarrega el paquet PBIS Open del repositori de (32 o 64 bits) - escull segons versió de GNU/Linux - :
Per poder validar usuaris des de l'entorn gràfic escrivint el seu identificador, cal .
Font d'informació: