我的公司要求我研究将 CentOS 7 实例连接到 Active Directory,以便更轻松地进行用户管理。
到目前为止我已经看过:
- Kerberos,通过命令行执行此操作 -如何将 CentOS Linux 加入 Active Directory 域
- OpenLDAP -24.7。配置系统以使用 OpenLDAP 进行身份验证
我还应该使用其他工具或资源来进行尽职调查吗?
答案1
sssd
这realmd
是迄今为止完成此任务最简单的方法。以下步骤是我为使我的 CentOS 计算机进入域并能够限制仅访问 Active Directory (AD) 安全组中的特定用户而执行的操作。
笔记:所有步骤均来自以下两个链接:
- https://www.rootusers.com/how-to-join-centos-linux-to-an-active-directory-domain/
- https://askubuntu.com/questions/545058/ssh-allow-windows-ad-groupswith-special-charactors
安装软件包
$ sudo yum install -y sssd realmd oddjob oddjob-mkhomedir adcli \
samba-common samba-common-tools krb5-workstation openldap-clients \
policycoreutils-python
编辑/etc/resolv.conf
文件并插入以下两行:
$ sudo vi /etc/resolv.conf
search <domain>
nameserver <ip>
加入 AD DOM
将 Linux 计算机加入到要在 Active Directory 中查看的域并查看您现在是否位于该域中:
$ sudo realm join --user=<user with permissions to add users to the domain> <domain>
$ sudo realm list
编辑/etc/sssd/sssd.conf
:
use_fully_qualified_names = True
fallback_homedir = /home/%u@%d
到
use_fully_qualified_names = False
fallback_homedir = /home/%u
然后重启sssd
服务:
$ sudo systemctl restart sssd
设置须藤
创建将在 AD 中使用的组/etc/sudoers.d/<group Name>
并编辑文件并添加用户访问权限:
$ sudo touch /etc/sudoers.d/sudoers
$ sudo vi !$
sudoers
将您想要该组的权限插入到文件中:
%sudoers ALL=(ALL) ALL
笔记:让系统管理员在 AD 中创建相同的组。
编辑哪些组或用户可以通过 SSH 访问系统。编辑/etc/ssh/sshd_config
组并将其添加到该AllowGroups
部分。您可能需要添加AllowGroups
到配置文件,我必须:
AllowGroups sudoers node_access
我有两个组,sudoers
并且node_access
.编辑/etc/security/access.conf
组并将其添加到此文件中,以仅允许sudoers
和node_access
组中的用户进行 ssh 访问。
将 () 中的组添加到文件的以下部分access.conf
:
# Same, but make sure that really the group wheel and not the user
# wheel is used (use nodefgroup argument, too):
#
-:ALL EXCEPT (wheel) shutdown sync:LOCAL (sudoers) (node_access)
重新启动sssd
服务并测试。