Wie man

So verbinden Sie das CentOS 8 / RHEL 8-System mit der Active Directory (AD)-Domäne

So verbinden Sie das CentOS 8 / RHEL 8-System mit der Active Directory (AD)-Domäne

Frage: Wie verbinde ich ein CentOS 8 / RHEL 8-System mit einer Windows Active Directory-Domäne??. In dieser Anleitung besprechen wir die Verwendung von realmd System, um einen CentOS 8 / RHEL 8-Server oder eine Workstation mit einer Active Directory-Domäne zu verbinden. Realmd bietet eine klare und einfache Möglichkeit, Identitätsdomänen zu erkennen und ihnen beizutreten, um eine direkte Domänenintegration zu erreichen.

In den meisten Unternehmensumgebungen wird die Active Directory-Domäne als zentraler Hub zum Speichern von Benutzerinformationen verwendet. Bei dieser Integration konfiguriert realmd zugrunde liegende Linux-Systemdienste wie SSSD oder Winbind, um eine Verbindung mit der Domäne herzustellen. Linux-Systeme sind mit Active Directory verbunden, um Benutzerinformationen für Authentifizierungsanforderungen abzurufen.

In diesem Handbuch wird veranschaulicht, wie Sie SSSD konfigurieren, um Informationen von Domänen innerhalb derselben Active Directory-Ressourcengesamtstruktur abzurufen. Wenn Sie mit mehr als einer AD-Gesamtstruktur arbeiten, funktioniert diese Anleitung möglicherweise nicht für Sie.

Schritt 1: Erforderliche Pakete installieren

Für die Integration von CentOS 8 / RHEL 8 AD sind eine Reihe von Paketen erforderlich. Installieren Sie sie auf Ihrem System, indem Sie die folgenden Befehle ausführen:

sudo dnf install realmd sssd oddjob oddjob-mkhomedir adcli samba-common samba-common-tools krb5-workstation authselect-compat

Installationsaufforderung akzeptieren.

Letzte Überprüfung des Metadatenablaufs: vor 0:19:18 am Fr 27 Sep 2019 21:45:40 PM EAT. Paket realmd-0.16.3-16.el8.x86_64 ist bereits installiert. Paket sssd-2.0.0-43.el8_0.3.x86_64 ist bereits installiert. Paket adcli-0.8.2-2.el8.x86_64 ist bereits installiert. Paket samba-common-4.9.1-8.el8.noarch ist bereits installiert. Abhängigkeiten gelöst. ================================================ ================================================ ============================================== Paket Arch-Version Lagergröße =============================================== ================================================ ================================================ Installieren : Gelegenheitsjob x86_64 0.34.4-7.el8 AppStream 83 k oddjob-mkhomedir x86_64 0.34.4-7.el8 AppStream 52 k Samba-Common-Tools x86_64 4.9.1-8.el8 BaseOS 461 k Abhängigkeiten installieren: samba-libs x86_64 4.9.1-8.el8 BaseOS 177 k Transaktionszusammenfassung =========================================== ================================================ ================================================ === Installieren Sie 4 Pakete Gesamte Downloadgröße: 773 k Installierte Größe: 1.7 M Ist das in Ordnung [y/N]: y

Auf einem neuen RHEL 8-Computer müssen Sie ihn registrieren, um Pakete zu installieren.

$ sudo Abonnement-Manager registrieren Registrierung für: Abonnement.rhsm.roter Hut.com:443/Abonnement-Benutzername:  Passwort:  Das System wurde mit der ID: d39d60a7-3236-4287-b361-53264159f5d1 registriert Der registrierte Systemname lautet: master.Beispiel.com $ sudo Abonnement-Manager anhängen --auto Aktueller Status des installierten Produkts: Produktname: Red Hat Enterprise Linux für x86_64 Status: Abonniert

Schritt 2: Entdecken Sie die Active Directory-Domäne auf CentOS 8 / RHEL 8

Stellen Sie vor der AD-Integration sicher, dass der CentOS/RHEL 8-Computer die AD-Domäne auflösen und erkennen kann.

Überprüfen Sie Ihre DNS-Einstellungen.

$ cat /etc/resolv.conf 

Überprüfen Sie, ob die AD-Domänenerkennung erfolgreich ist.

$ Beispiel für Reich entdecken.com Beispiel.com-Typ: Kerberos Realm-Name: BEISPIEL.COM-Domain-Name: Beispiel.com konfiguriert: keine Server-Software: Active-Directory Client-Software: sssd erforderliches-Paket: oddjob erforderliches-Paket: oddjob-mkhomedir erforderliches-Paket: sssd erforderliches-Paket: adcli erforderliches-Paket: samba-common-tools

Schritt 3: CentOS 8 / RHEL 8 Linux-Computer in Active Directory-Domäne beitreten

Für die Integration des CentOS 8 / RHEL 8-Computers in die Windows Active Directory-Domäne ist ein AD-Administratorbenutzerkonto erforderlich.

Stellen Sie sicher, dass Sie einen Admin-Benutzernamen und ein Passwort haben. Führen Sie dann den folgenden Befehl aus, um das CentOS 8 / RHEL 8 Linux-System mit einer Active Directory-Domäne zu verbinden.

$ Beispiel für einen Realm-Beitritt.com -U Administrator Passwort für Administrator: 

Ersetzen Administrator mit Ihrem AD-Administratorkonto und geben Sie das Passwort ein, wenn Sie dazu aufgefordert werden. Bestätigen Sie, dass der Beitritt erfolgreich war.

Beispiel für eine $ sudo-Realm-Liste.com-Typ: Kerberos Realm-Name: BEISPIEL.COM-Domain-Name: Beispiel.com konfiguriert: Kerberos-Mitglied Server-Software: Active-Directory Client-Software: sssd erforderliches Paket: oddjob erforderliches Paket: oddjob-mkhomedir erforderliches Paket: sssd erforderliches Paket: adcli erforderliches Paket: samba-common-tools login -formats: %[email protected] Login-Policy: Allow-Realm-Logins 

Sobald die Maschine verbunden ist, führen Sie die folgenden Befehle aus.

sudo authselect sssd auswählen sudo authselect sssd auswählen mit-mkhomedir

Ihre sssd.conf Konfigurationsdatei sollte wie folgt aussehen,

$ cat /etc/sssd/sssd.conf [sssd] Domänen = Beispiel.com config_file_version = 2 services = nss, pam default_domain_suffix = example.com [nss] homedir_substring = /home [pam] [Domäne/Beispiel.com] ad_domain = Beispiel.com krb5_realm = BEISPIEL.COM realmd_tags = verwaltet-system Joined-with-Samba cache_credentials = True id_provider = ad krb5_store_password_if_offline = True default_shell = /bin/bash ldap_id_mapping = True use_fully_qualified_names = True fallback_homedir = /home/%[email protecteder]%d Zugriff 

Wenn eine Änderung in der Konfigurationsdatei vorgenommen wird, ist ein Neustart des Dienstes erforderlich.

sudo systemctl Neustart sssd

Status sollte ausgeführt werden.

$ systemctl-status sssd ● SSD.service - System Security Services Daemon Geladen: geladen (/usr/lib/systemd/system/sssd.Bedienung; aktiviert; Herstellervoreinstellung: deaktiviert) Aktiv: aktiv (läuft) seit Fr 27.09.2019 22:30:25 EAT; vor 37min Main PID: 32474 (sssd) CGroup: /system.Slice/sssd.service 32474 /usr/sbin/sssd -i --logger=files ├─32478 /usr/libexec/sssd/sssd_be --domain example.com --uid 0 --gid 0 --logger=files 32479 /usr/libexec/sssd/sssd_nss --uid 0 --gid 0 --logger=files └─32480 /usr/libexec/sssd/sssd_pam - -uid 0 --gid 0 --logger=Dateien… 

Wenn die Integration funktioniert, sollte es möglich sein, eine AD-Benutzerinfo zu erhalten.

$ id jmutai uid=1783929917([email protected]) gid=1784800513(domain [email protected]) groups=1783870513(domain [email protected])

Schritt 4: Zugriffskontrolle - Auf Benutzer/Gruppe beschränken

Der Zugriff auf den registrierten Server kann eingeschränkt werden, indem nur bestimmte Benutzer/und Gruppen zugelassen werden.

Auf Benutzer beschränken

Um einem Benutzer den Zugriff über SSH und Konsole zu erlauben, verwenden Sie den Befehl:

$ Realm-Genehmigung [email protected] $ Realm-Genehmigung [email protected] [email protected]

Zugriff auf Gruppe zulassen - Beispiele

$ ream-Zulassung -g sysadmins $ realm-Zulassung -g 'Sicherheitsbenutzer' $ realm-Zulassung 'Domain-Benutzer'Admin-Benutzer'

Dies ändert sich sssd.conf Datei.

Wenn Sie stattdessen allen Benutzern Zugriff gewähren möchten, führen Sie Folgendes aus:

$ Sudo-Realm-Genehmigung --all

Um allen Domänenbenutzern den Zugriff zu verweigern, verwenden Sie:

$ sudo realm verweigern --all

Schritt 5: Sudo-Zugriff konfigurieren

Standardmäßig haben Domänenbenutzer keine Berechtigung, die Berechtigung auf Root auszuweiten. Benutzern muss der Zugriff basierend auf Benutzernamen oder Gruppen gewährt werden.

Lassen Sie uns zuerst eine sudo-Berechtigungsgewährungsdatei erstellen.

$ sudo vi /etc/sudoers.d/domain_admins

Einzelbenutzer hinzufügen:

[email protected] ALLE=(ALLE) ALLE 

Fügen Sie einen weiteren Benutzer hinzu:

[email protected] ALLE=(ALLE) ALLE [email protected] ALLE=(ALLE) ALLE 

Gruppe hinzufügen

%[email protected] ALLE=(ALLE) ALLE

Gruppe mit zwei oder drei Namen hinzufügen.

%security\ [email protected] ALLE=(ALLE) ALLE %system\ super\ [email protected] ALLE=(ALLE) ALLE 

Schritt 6: SSH-Zugriff testen

Greifen Sie remote auf den Server als Benutzer auf AD zu, der sich anmelden darf.

$ ssh [email protected] Die Authentizität des Hosts 'localhost (::1)' kann nicht festgestellt werden. Der Fingerabdruck des ECDSA-Schlüssels ist SHA256:wmWcLi/lijm4zWbQ/Uf6uLMYzM7g1AnBwxzooqpB5CU. Der Fingerabdruck des ECDSA-Schlüssels lautet MD5:10:0c:cb:22:fd:28:34:c6:3e:d7:68:15:02:f9:b4:e9. Sind Sie sicher, dass Sie die Verbindung fortsetzen möchten (ja/nein)? ja Warnung: 'localhost' (ECDSA) dauerhaft zur Liste der bekannten Hosts hinzugefügt.

Dies ist eine Bestätigung, dass unsere Konfiguration erfolgreich war. Besuchen Sie die Wiki-Seiten von realmd und sssd, um mehr zu erfahren.

Mehr:

So verwalten Sie CentOS 8 mit der Cockpit Web Admin Console

So ändern Sie den SSH-Port auf CentOS / RHEL & Fedora mit SELinux Enforcing

So überprüfen Sie den Ablauf von SSL-Zertifikaten mit OpenSSL

Amazon kritisiert wegen Verkauf fehlerhafter Gesichtserkennungstechnologie an die Polizei
Über die Einschränkungen der Gesichtserkennungstechnologie wurde weithin berichtet, und das macht es umso verwirrender, dass Amazon seine Technologie ...
Von Wissenschaftlern entwickelte Smartphone-App zur Diagnose von Ohrinfektionen
Wenn es eine Krankheit gibt, für die jedes Kind veranlagt zu sein scheint, dann sind es Ohrenentzündungen. Das Problem tritt auf, wenn sie mehrere Ohr...
PC- und Tablet-Auslieferungen werden voraussichtlich weiter langsam zurückgehen
In den letzten Jahren wurde viel darüber diskutiert, ob das Tablet den traditionellen PC ersetzen wird. Leute, die Tablets mögen, bestehen darauf, das...