PBISO (PowerBroker Identity Services Open) 認証方法は、オフライン ドメイン参加をサポートするソリューションです。

PBISO (PowerBroker Identity Services Open) 認証では、次の Linux ディストリビューションを実行しているインスタント クローン デスクトップで Active Directory へのオフライン ドメイン参加がサポートされています。

  • Ubuntu 18.04/20.04/22.04
  • RHEL 7.9

次の手順に従って、PBISO を使用する Active Directory (AD) に Linux 仮想マシンを参加させます。

前提条件

インスタント クローンのフローティング デスクトップ プールで PBISO を使用するには、まずソース テンプレート仮想マシンに krb5-user パッケージをインストールします。たとえば、Ubuntu 仮想マシンの場合は、次のインストール コマンドを実行します。 
apt-get install krb5-user

手順

  1. https://github.com/BeyondTrust/pbis-open/releasesの公式ダウンロード サイトから PBISO 9.1.0 以降をダウンロードします。
  2. Linux 仮想マシンに PBISO をインストールします。たとえば、Ubuntu 20.04 の場合: 
    sudo ./pbis-open-9.1.0.551.linux.x86_64.deb.sh
  3. Horizon Agent for Linux をインストールします。
  4. PBISO を使用して、Linux 仮想マシンを Active Directory ドメインに参加させます。
    次の例では、 lxdc.vdi がドメイン名、 administrator がドメインのユーザー名です。 
    sudo domainjoin-cli join lxdc.vdi administrator
  5. ドメイン ユーザーのデフォルト設定を行います。 
    sudo /opt/pbis/bin/config UserDomainPrefix lxdc 
sudo /opt/pbis/bin/config AssumeDefaultDomain true 
sudo /opt/pbis/bin/config LoginShellTemplate /bin/bash 
sudo /opt/pbis/bin/config HomeDirTemplate %H/%U
  6. /etc/pam.d/common-session ファイルを編集します。
    1. session sufficient pam_lsass.so をという行を探します。
    2. この行を session [success=ok default=ignore] pam_lsass.so で置き換えます。
    注: Horizon Agent を再インストールまたは更新した後に、この手順をやり直す必要があります。
  7. Linux 仮想マシンを再起動してログインします。

次のタスク

注:
  • /opt/pbis/bin/config AssumeDefaultDomain オプションが false に設定されている場合は/etc/vmware/viewagent-custom.conf ファイルで SSOUserFormat=<username>@<domain> 設定を更新する必要があります。
  • インスタント クローンのフローティング デスクトップ プールを使用する場合は、クローン作成済みの仮想マシンに新しいネットワーク アダプタを追加するときに DNS サーバの設定が失われないように、Linux システムの resolv.conf ファイルを変更します。次の例では、Ubuntu システムを使用しています。この例を参考にして、/etc/resolv.conf ファイルに必要な行を追加してください。
    nameserver 10.10.10.10
search mydomain.org