¿Qué es reino?
Realmd proporciona una forma sencilla de descubrir y unir dominios de identidad. Configura los servicios del sistema Linux como sssd o winbind para realizar la autenticación de red real y las búsquedas de cuentas de usuario. Con el lanzamiento de CentOS/RHEL 7, realmd es totalmente compatible y se puede usar para unir reinos IdM, AD o Kerberos. La principal ventaja de usar realmd es la capacidad de proporcionar un comando simple de una línea para inscribirse en un dominio y configurar la autenticación de red. Por ejemplo, realmd puede configurar fácilmente:
- Pila de PAM
- Capa NSS
- Kerberos
- SSSD
- Winbind
Configure CentOS/RHEL 7 como un cliente de Active Directory usando realmd
Siga los pasos descritos a continuación para configurar el cliente Linux usando Realmd para conectarse a un dominio de Active Directory (AD).
1. Instale los paquetes necesarios para configurar el cliente AD.
# yum install realmd oddjob oddjob-mkhomedir sssd adcli openldap-clients policycoreutils-python samba-common samba-common-tools krb5-workstation
Podemos usar el subcomando list para asegurarnos de que actualmente no somos parte de un dominio:
# realm list
La salida debe estar en blanco. Ahora, estamos listos para continuar con el siguiente paso:descubrir y unirnos al dominio.
2. Descubra el dominio del directorio activo y únase con los siguientes comandos.
# realm discover ad.example.com ad.example.com type: kerberos realm-name: AD.EXAMPLE.COM domain-name: ad.example.com configured: no server-software: active-directory client-software: sssd required-package: oddjob required-package: oddjob-mkhomedir required-package: sssd required-package: adcli required-package: samba-common-tools
# realm join ad.example.com Password for Administrator: realm: Joined ad.example.com domain
3. Verifique el archivo de configuración de kerberose /etc/krb5.conf para incluir:
# cat /etc/krb5.conf
# Configuration snippets may be placed in this directory as well
includedir /etc/krb5.conf.d/
[logging]
default = FILE:/var/log/krb5libs.log
kdc = FILE:/var/log/krb5kdc.log
admin_server = FILE:/var/log/kadmind.log
[libdefaults]
default = DOMAIN.EXAMPLE.COM
dns_lookup_realm = true
dns_lookup_kdc=true
ticket_lifetime = 24h
renew_lifetime = 7d
forwardable = true
rdns = false
default_ccache_name = KEYRING:persistent:%{uid}
default_realm = DOMAIN.EXAMPLE.COM
default_ccache_name = KEYRING:persistent:%{uid}
[realms]
AD.EXAMPLE.COM = {
kdc = [hostname_of_server].domain.example.com:88
admin_server = domain.example.com
}
[domain_realm]
.domain.example.com = DOMAIN.EXAMPLE.COM
domain.example.com = DOMAIN.EXAMPLE.COM 4. Verifique que /etc/sssd/sssd.conf tenga las siguientes entradas.
# cat /etc/sssd/sssd.conf [sssd] domains = domain.example.com config_file_version = 2 services = nss, pam [domain/domain.example.com] ad_server = domain.example.com ad_domain = domain.example.com krb5_realm = DOMAIN.EXAMPLE.COM realmd_tags = manages-system joined-with-adcli cache_credentials = True id_provider = ad krb5_store_password_if_offline = True default_shell = /bin/bash ldap_id_mapping = True use_fully_qualified_names = True fallback_homedir = /home/%u@%d access_provider = ad enumeration = True
5. Asigne el permiso adecuado a sssd.conf.
# chown root:root /etc/sssd/sssd.conf # chmod 0600 /etc/sssd/sssd.conf # restorecon /etc/sssd/sssd.conf # authconfig --enablesssd --enablesssdauth --enablemkhomedir --update # systemctl start sssd
Verificar
Verifique la conexión con el siguiente comando:
# id user@domain.example.com # ssh user@domain.example.com
A continuación se muestran ejemplos de estos comandos.
# id user@ad.example.com uid=1348601103(user@ad.example.com) gid=1348600513(domain users@ad.example.com) groups=1348600513(domain users@ad.example.com)
# ssh user@ad.example.com@127.0.0.1 user@ad.example.com@127.0.0.1's password: Creating home directory for user@ad.example.com. $ pwd /home/ad.example.com/user