sssd
e realmd
foi de longe a maneira mais fácil de fazer isso. As etapas abaixo são o que eu fiz para obter minha máquina CentOS no domínio e restringir o acesso somente aos usuários específicos nos grupos de segurança do Active Directory (AD).
OBSERVAÇÃO: todas as etapas dos links abaixo:
Instalar os pacotes
$ sudo yum install -y sssd realmd oddjob oddjob-mkhomedir adcli \
samba-common samba-common-tools krb5-workstation openldap-clients \
policycoreutils-python
Edite o arquivo /etc/resolv.conf
& insira as duas linhas seguintes:
$ sudo vi /etc/resolv.conf
search <domain>
nameserver <ip>
Entrando no AD DOM
Junte-se à máquina Linux no domínio para ser visto no Active Directory & para ver que você está agora no domínio:
$ sudo realm join --user=<user with permissions to add users to the domain> <domain>
$ sudo realm list
Edite o /etc/sssd/sssd.conf
:
use_fully_qualified_names = True
fallback_homedir = /home/%u@%d
Para
use_fully_qualified_names = False
fallback_homedir = /home/%u
Em seguida, reinicie o sssd
service:
$ sudo systemctl restart sssd
Configuração do sudo
Crie os grupos que serão usados no AD em /etc/sudoers.d/<group Name>
& edite o arquivo e adicione o acesso do usuário:
$ sudo touch /etc/sudoers.d/sudoers
$ sudo vi !$
Insira no arquivo sudoers
as permissões que você deseja para este grupo:
%sudoers ALL=(ALL) ALL
NOTA: faça com que um administrador do sistema crie os mesmos grupos no AD.
Edite quais grupos ou usuários podem acessar o sistema via SSH. Edite /etc/ssh/sshd_config
e adicione os grupos à seção AllowGroups
. Você pode precisar adicionar AllowGroups
ao arquivo de configuração, eu tive que:
AllowGroups sudoers node_access
Eu tenho dois grupos, sudoers
e node_access
. Edite /etc/security/access.conf
e adicione os grupos neste arquivo para permitir apenas o acesso ssh para usuários no grupo sudoers
e node_access
.
Adicione os grupos em () à seção abaixo do arquivo access.conf
:
# Same, but make sure that really the group wheel and not the user
# wheel is used (use nodefgroup argument, too):
#
-:ALL EXCEPT (wheel) shutdown sync:LOCAL (sudoers) (node_access)
Reinicie o sssd
service e o teste.