Mecanismo de autenticação para conectar ao Windows AD no Linux?

2

Minha empresa me pediu para analisar a conexão de nossas instâncias do CentOS 7 ao nosso Active Directory para facilitar o gerenciamento de usuários.

Eu olhei até agora:

Existe alguma outra ferramenta ou recurso que eu deva investigar para fazer a minha devida diligência?

    
por Govna 27.02.2018 / 23:02

1 resposta

2

sssd e realmd foi de longe a maneira mais fácil de fazer isso. As etapas abaixo são o que eu fiz para obter minha máquina CentOS no domínio e restringir o acesso somente aos usuários específicos nos grupos de segurança do Active Directory (AD).

OBSERVAÇÃO: todas as etapas dos links abaixo:

Instalar os pacotes

$ sudo yum install -y sssd realmd oddjob oddjob-mkhomedir adcli \
   samba-common samba-common-tools krb5-workstation openldap-clients \
   policycoreutils-python

Edite o arquivo /etc/resolv.conf & insira as duas linhas seguintes:

$ sudo vi /etc/resolv.conf
search <domain>
nameserver <ip>

Entrando no AD DOM

Junte-se à máquina Linux no domínio para ser visto no Active Directory & para ver que você está agora no domínio:

$ sudo realm join --user=<user with permissions to add users to the domain> <domain>
$ sudo realm list

Edite o /etc/sssd/sssd.conf :

De
use_fully_qualified_names = True
fallback_homedir = /home/%u@%d
Para
use_fully_qualified_names = False
fallback_homedir = /home/%u

Em seguida, reinicie o sssd service:

$ sudo systemctl restart sssd

Configuração do sudo

Crie os grupos que serão usados no AD em /etc/sudoers.d/<group Name> & edite o arquivo e adicione o acesso do usuário:

$ sudo touch /etc/sudoers.d/sudoers
$ sudo vi !$

Insira no arquivo sudoers as permissões que você deseja para este grupo:

%sudoers    ALL=(ALL)       ALL

NOTA: faça com que um administrador do sistema crie os mesmos grupos no AD.

Edite quais grupos ou usuários podem acessar o sistema via SSH. Edite /etc/ssh/sshd_config e adicione os grupos à seção AllowGroups . Você pode precisar adicionar AllowGroups ao arquivo de configuração, eu tive que:

AllowGroups sudoers node_access

Eu tenho dois grupos, sudoers e node_access . Edite /etc/security/access.conf e adicione os grupos neste arquivo para permitir apenas o acesso ssh para usuários no grupo sudoers e node_access .

Adicione os grupos em () à seção abaixo do arquivo access.conf :

# Same, but make sure that really the group wheel and not the user
# wheel is used (use nodefgroup argument, too):
#
-:ALL EXCEPT (wheel) shutdown sync:LOCAL (sudoers) (node_access)

Reinicie o sssd service e o teste.

    
por 02.03.2018 / 20:43