Присоедините систему CentOS 8/RHEL 8 к домену Active Directory

В большинстве корпоративных сред домен Active Directory используется в качестве центрального узла для хранения информации о пользователях. В этой интеграции Realmd настраивает базовые системные службы Linux, такие как SSSD или Winbind, для подключения к домену. Системы Linux подключаются к Active Directory для получения информации о пользователе для запросов аутентификации.

Шаг 1. Установите необходимые пакеты

Для интеграции CentOS 8 / RHEL 8 AD требуется ряд пакетов. Установите их в свою систему, выполнив следующие команды:

dnf install realmd sssd oddjob oddjob-mkhomedir adcli samba-common samba-common-tools krb5-workstation authselect-compat

Шаг 2. Найдите домен Active Directory

realm  discover example.com

Шаг 3. Присоедините CentOS 8/RHEL 8 к домену Active Directory.

Для интеграции компьютера CentOS 8/RHEL 8 с доменом Windows Active Directory требуется учетная запись администратора AD.

Убедитесь, что у вас есть имя пользователя и пароль администратора. Затем выполните команду ниже, чтобы присоединить систему CentOS 8 / RHEL 8 Linux к домену Active Directory.

realm join example.com -U Administrator

Замените Administrator на свою учетную запись администратора AD и введите пароль, когда вас спросят. Подтвердите, что присоединение прошло успешно.

realm list

cat /etc/sssd/sssd.conf
[sssd]
domains = example.com
config_file_version = 2
services = nss, pam
default_domain_suffix = example.com

[nss]
homedir_substring = /home

[pam]

[domain/example.com]
ad_domain = example.com
krb5_realm = EXAMPLE.COM
realmd_tags = manages-system joined-with-samba 
cache_credentials = True
id_provider = ad
krb5_store_password_if_offline = True
default_shell = /bin/bash
ldap_id_mapping = True
use_fully_qualified_names = True
fallback_homedir = /home/%u@%d
access_provider = ad

При внесении изменений в файл конфигурации требуется перезапуск службы.

systemctl restart sssd

Шаг 4. Управление доступом — ограничить пользователем/группой

Доступ к зарегистрированному серверу можно ограничить, разрешив доступ только определенным пользователям/группам.

Ограничить количество пользователей

Чтобы разрешить пользователю доступ через SSH и консоль, используйте команду:

realm permit user1@example.com
realm permit user2@example.com user3@example.com

Разрешить доступ к группе

ream permit -g sysadmins
realm permit -g 'Security Users'
realm permit 'Domain Users' 'admin users'

Это изменит файл sssd.conf .

Если вместо этого вы хотите разрешить доступ всем пользователям, запустите:

realm permit --all

Чтобы запретить доступ всем пользователям домена, используйте:

realm  deny --all

Шаг 5. Настройте доступ Sudo

По умолчанию пользователи домена не будут иметь разрешения на повышение привилегий до root. Пользователям необходимо предоставить доступ на основе имен пользователей или групп.

Давайте сначала создадим файл разрешений sudo.

nano /etc/sudoers.d/domain_admins

Добавить одного пользователя:

user1@example.com ALL=(ALL)       ALL

Добавьте еще одного пользователя:

user1@example.com     ALL=(ALL)   ALL
user2@example.com     ALL=(ALL)   ALL

Добавить группу

%group1@example.com     ALL=(ALL)   ALL

Добавьте группу с двумя или тремя именами.

%security\ users@example.com       ALL=(ALL)       ALL
%system\ super\ admins@example.com ALL=(ALL)       ALL