Implementação do AADDC SLDAP

Navegue suas respostas
1

Eu sou novo no Serviço de Diretório Ativo do Azure e a abstração é um pouco de quebra-cabeça para mim no momento. O que estou tentando fazer é ter todos os meus servidores AWS EC2 (Linux) autenticados via LDAP (para conexão SSH).

Configurei com êxito o SLDAP, o endereço IP público já foi gerado e o vinculei a um FQDN (dc.meudominio.com). No meu servidor AWS EC2 Linux, eu instalei o sssd e o realmd para conseguir realizar a Autenticação SSH AD.

Aqui está a string do ldap que eu uso, que confirma que o sldap está funcionando corretamente: 

ldapsearch -H ldaps://directory.mydomain.com:636 -Z -d 5 -x -b "dc=mydomain,dc=com" -D "[email protected]" -W

O comando acima fornece todas as informações sobre o DN, CN, OU, DC listado no AD do Azure.

Enquanto tento usar o PAM no CENTOS7, parece que o binddn não resolve nenhum results() - com certeza o dn que estou usando existe, como é o que aparece nos resultados da ldapsearch .

O MS Azure tem restrição / limitação?

    
por upbeta01 17.01.2017 / 09:43

1 resposta

0

Não há documentação informando que há limites para o Azure AD DS com LDAP seguro.

A partir da documentação, ele apenas disse que você pode acessar o domínio gerenciado com LDAP seguro pela Internet. Além disso, ele não afirma que ele pode ser usado pelo aplicativo para autenticação no Azure AD.

Como alternativa, em vez do AD DS do Azure com LDAPS, você pode procurar usar logins do Azure AD para Linux no link abaixo. Você ainda pode encontrar código de amostra de aqui .

link

UPDATE

Funciona usando o Azure AD para logon SSH no meu RHEL 7.3. As sequências são o guia passo a passo para fazer o Azure AD funcionar para logins no Linux.

Pré-requisitos

  • Um diretório do AD do Azure foi criado e alguns usuários existem
  • Node.js e npm estão instalados na VM do Linux
  • Um aplicativo de diretório foi criado (tipo de cliente nativo) e você tem o ID do cliente
  • Sua distribuição PAM possui pam_exec.so

Fornecimento de usuários

Você precisa usar o seguinte comando para adicionar a conta do AD do Azure, isso garante que o usuário com o qual você fará login seja visível pelo NSS. 

sudo useradd -m <user>

Instalando

Você pode fazer o download do arquivo tar do link e: 

sudo tar xzf aad-login_0.1.tar.gz -C /
cd /opt/aad-login
sudo npm install

Configurando

  1. Abra o arquivo /opt/aad-login/aad-login.js e altere os seguintes itens

var directory = '********.onmicrosoft.com'; // The domain name of directory
var clientid = '****-****-*****-*****-**********'; //The Client ID of the application registered in Azure AD
authorityHostUrl : 'https://login.microsoftonline.com' //The latest URL of the endpoint

  1. Abra /etc/pam.d/sshd e adicione a seguinte regra

auth sufficient pam_exec.so expose_authtok /usr/local/bin/aad-login

Nota: Para Utuntu, você precisa adicionar a regra em /etc/pam.d/common-auth

  1. No CentOS 7.x (e outras distros habilitadas para o SELinux) você precisa desabilitar a política executando o seguinte comando:

    sudo setenforce 0

por 18.01.2017 / 11:01

Tags

mesma entrada para CNAME e subdomínio SSH do servidor remoto, sem prompt do SSH