Linux中连接Windows AD的身份验证机制？

Question

sssd这realmd是迄今为止完成此任务最简单的方法。以下步骤是我为使我的 CentOS 计算机进入域并能够限制仅访问 Active Directory (AD) 安全组中的特定用户而执行的操作。

笔记：所有步骤均来自以下两个链接：

安装软件包

$ sudo yum install -y sssd realmd oddjob oddjob-mkhomedir adcli \
   samba-common samba-common-tools krb5-workstation openldap-clients \
   policycoreutils-python

编辑/etc/resolv.conf文件并插入以下两行：

$ sudo vi /etc/resolv.conf
search <domain>
nameserver <ip>

加入 AD DOM

将 Linux 计算机加入到要在 Active Directory 中查看的域并查看您现在是否位于该域中：

$ sudo realm join --user=<user with permissions to add users to the domain> <domain>
$ sudo realm list

编辑/etc/sssd/sssd.conf：

从

use_fully_qualified_names = True
fallback_homedir = /home/%u@%d

到

use_fully_qualified_names = False
fallback_homedir = /home/%u

然后重启sssd服务：

$ sudo systemctl restart sssd

设置须藤

创建将在 AD 中使用的组/etc/sudoers.d/<group Name>并编辑文件并添加用户访问权限：

$ sudo touch /etc/sudoers.d/sudoers
$ sudo vi !$

sudoers将您想要该组的权限插入到文件中：

%sudoers    ALL=(ALL)       ALL

笔记：让系统管理员在 AD 中创建相同的组。

编辑哪些组或用户可以通过 SSH 访问系统。编辑/etc/ssh/sshd_config组并将其添加到该AllowGroups部分。您可能需要添加AllowGroups到配置文件，我必须：

AllowGroups sudoers node_access

我有两个组，sudoers并且node_access.编辑/etc/security/access.conf组并将其添加到此文件中，以仅允许sudoers和node_access组中的用户进行 ssh 访问。

将 () 中的组添加到文件的以下部分access.conf：

# Same, but make sure that really the group wheel and not the user
# wheel is used (use nodefgroup argument, too):
#
-:ALL EXCEPT (wheel) shutdown sync:LOCAL (sudoers) (node_access)

重新启动sssd服务并测试。

Answer 1

sssd这realmd是迄今为止完成此任务最简单的方法。以下步骤是我为使我的 CentOS 计算机进入域并能够限制仅访问 Active Directory (AD) 安全组中的特定用户而执行的操作。

笔记：所有步骤均来自以下两个链接：

安装软件包

$ sudo yum install -y sssd realmd oddjob oddjob-mkhomedir adcli \
   samba-common samba-common-tools krb5-workstation openldap-clients \
   policycoreutils-python

编辑/etc/resolv.conf文件并插入以下两行：

$ sudo vi /etc/resolv.conf
search <domain>
nameserver <ip>

加入 AD DOM

将 Linux 计算机加入到要在 Active Directory 中查看的域并查看您现在是否位于该域中：

$ sudo realm join --user=<user with permissions to add users to the domain> <domain>
$ sudo realm list

编辑/etc/sssd/sssd.conf：

从

use_fully_qualified_names = True
fallback_homedir = /home/%u@%d

到

use_fully_qualified_names = False
fallback_homedir = /home/%u

然后重启sssd服务：

$ sudo systemctl restart sssd

设置须藤

创建将在 AD 中使用的组/etc/sudoers.d/<group Name>并编辑文件并添加用户访问权限：

$ sudo touch /etc/sudoers.d/sudoers
$ sudo vi !$

sudoers将您想要该组的权限插入到文件中：

%sudoers    ALL=(ALL)       ALL

笔记：让系统管理员在 AD 中创建相同的组。

编辑哪些组或用户可以通过 SSH 访问系统。编辑/etc/ssh/sshd_config组并将其添加到该AllowGroups部分。您可能需要添加AllowGroups到配置文件，我必须：

AllowGroups sudoers node_access

我有两个组，sudoers并且node_access.编辑/etc/security/access.conf组并将其添加到此文件中，以仅允许sudoers和node_access组中的用户进行 ssh 访问。

将 () 中的组添加到文件的以下部分access.conf：

# Same, but make sure that really the group wheel and not the user
# wheel is used (use nodefgroup argument, too):
#
-:ALL EXCEPT (wheel) shutdown sync:LOCAL (sudoers) (node_access)

重新启动sssd服务并测试。

Linux中连接Windows AD的身份验证机制？

答案1

安装软件包

加入 AD DOM

设置须藤

相关内容