PowerBroker Identity Services Open (PBISO) 身份验证方法是支持执行脱机域加入的解决方案之一。

PowerBroker Identity Services Open (PBISO) 身份验证支持运行以下 Linux 分发包的即时克隆桌面脱机域加入 Active Directory。

  • Ubuntu 18.04/20.04/22.04
  • RHEL 7.9

执行以下步骤可使用 PBISO 将 Linux 虚拟机加入到 Active Directory (AD)。

前提条件

要将 PBISO 与即时克隆浮动桌面池配合使用,请先在源模板虚拟机上安装 krb5-user 软件包。例如,在 Ubuntu 虚拟机上,您可以使用以下安装命令:
apt-get install krb5-user

过程

  1. 从官方下载站点(网址为 https://github.com/BeyondTrust/pbis-open/releases)下载 PBISO 9.1.0 或更高版本。
  2. 在 Linux 虚拟机上安装 PBISO。例如,在 Ubuntu 20.04 上:
    sudo ./pbis-open-9.1.0.551.linux.x86_64.deb.sh
  3. 安装适用于 Linux 的 Horizon Agent
  4. 使用 PBISO 将 Linux 虚拟机加入 AD 域。
    在以下示例中, lxdc.vdi 是域名, administrator 是域用户名。
    sudo domainjoin-cli join lxdc.vdi administrator
  5. 为域用户设置默认配置。
    sudo /opt/pbis/bin/config UserDomainPrefix lxdc 
    sudo /opt/pbis/bin/config AssumeDefaultDomain true 
    sudo /opt/pbis/bin/config LoginShellTemplate /bin/bash 
    sudo /opt/pbis/bin/config HomeDirTemplate %H/%U
  6. 编辑 /etc/pam.d/common-session 文件。
    1. 找到内容为 session sufficient pam_lsass.so 的行。
    2. 将这一行替换为 session [success=ok default=ignore] pam_lsass.so
    注: 重新安装或更新 Horizon Agent 后,必须重复此步骤。
  7. 重新启动 Linux 虚拟机,然后登录。

下一步做什么

注:
  • 如果将 /opt/pbis/bin/config AssumeDefaultDomain 选项设置为 false,必须更新 /etc/vmware/viewagent-custom.conf 文件中的 SSOUserFormat=<username>@<domain> 设置。
  • 使用即时克隆浮动桌面池时,为避免在向克隆的虚拟机添加新网络适配器时丢失 DNS 服务器设置,需修改 Linux 系统的 resolv.conf 文件。对于 Ubuntu 系统,在向 /etc/resolv.conf 文件添加必要的行时,可将以下示例作为指南。
    nameserver 10.10.10.10
    search mydomain.org