Linux中连接Windows AD的身份验证机制?

Linux中连接Windows AD的身份验证机制?

我的公司要求我研究将 CentOS 7 实例连接到 Active Directory,以便更轻松地进行用户管理。

到目前为止我已经看过:

我还应该使用其他工具或资源来进行尽职调查吗?

答案1

sssdrealmd是迄今为止完成此任务最简单的方法。以下步骤是我为使我的 CentOS 计算机进入域并能够限制仅访问 Active Directory (AD) 安全组中的特定用户而执行的操作。

笔记:所有步骤均来自以下两个链接:

安装软件包

$ sudo yum install -y sssd realmd oddjob oddjob-mkhomedir adcli \
   samba-common samba-common-tools krb5-workstation openldap-clients \
   policycoreutils-python

编辑/etc/resolv.conf文件并插入以下两行:

$ sudo vi /etc/resolv.conf
search <domain>
nameserver <ip>

加入 AD DOM

将 Linux 计算机加入到要在 Active Directory 中查看的域并查看您现在是否位于该域中:

$ sudo realm join --user=<user with permissions to add users to the domain> <domain>
$ sudo realm list

编辑/etc/sssd/sssd.conf

use_fully_qualified_names = True
fallback_homedir = /home/%u@%d
use_fully_qualified_names = False
fallback_homedir = /home/%u

然后重启sssd服务:

$ sudo systemctl restart sssd

设置须藤

创建将在 AD 中使用的组/etc/sudoers.d/<group Name>并编辑文件并添加用户访问权限:

$ sudo touch /etc/sudoers.d/sudoers
$ sudo vi !$

sudoers将您想要该组的权限插入到文件中:

%sudoers    ALL=(ALL)       ALL

笔记:让系统管理员在 AD 中创建相同的组。

编辑哪些组或用户可以通过 SSH 访问系统。编辑/etc/ssh/sshd_config组并将其添加到该AllowGroups部分。您可能需要添加AllowGroups到配置文件,我必须:

AllowGroups sudoers node_access

我有两个组,sudoers并且node_access.编辑/etc/security/access.conf组并将其添加到此文件中,以仅允许sudoersnode_access组中的用户进行 ssh 访问。

将 () 中的组添加到文件的以下部分access.conf

# Same, but make sure that really the group wheel and not the user
# wheel is used (use nodefgroup argument, too):
#
-:ALL EXCEPT (wheel) shutdown sync:LOCAL (sudoers) (node_access)

重新启动sssd服务并测试。

相关内容