Was ist realmd
Realmd bietet eine einfache Möglichkeit, Identitätsdomänen zu entdecken und ihnen beizutreten. Es konfiguriert Linux-Systemdienste wie sssd oder winbind, um die eigentliche Netzwerkauthentifizierung und Benutzerkontensuche durchzuführen. Mit der Veröffentlichung von CentOS/RHEL 7 wird realmd vollständig unterstützt und kann verwendet werden, um IdM-, AD- oder Kerberos-Realms beizutreten. Der Hauptvorteil der Verwendung von realmd ist die Möglichkeit, einen einfachen einzeiligen Befehl bereitzustellen, um sich bei einer Domäne anzumelden und die Netzwerkauthentifizierung zu konfigurieren. Zum Beispiel kann realmd einfach konfigurieren:
- PAM-Stack
- NSS-Schicht
- Kerberos
- SSSD
- Winbind
Konfigurieren Sie CentOS/RHEL 7 als Active Directory-Client mit realmd
Befolgen Sie die nachstehenden Schritte, um den Linux-Client mithilfe von Realmd zu konfigurieren, um eine Verbindung zu einer Active Directory (AD)-Domäne herzustellen.
1. Installieren Sie die erforderlichen Pakete, um den AD-Client zu konfigurieren.
# yum install realmd oddjob oddjob-mkhomedir sssd adcli openldap-clients policycoreutils-python samba-common samba-common-tools krb5-workstation
Wir können den Unterbefehl list verwenden, um sicherzustellen, dass wir derzeit nicht Teil einer Domäne sind:
# realm list
Die Ausgabe sollte leer sein. Jetzt sind wir bereit, mit dem nächsten Schritt fortzufahren – der Entdeckung und dem Beitritt zur Domäne.
2. Entdecken Sie die Active Directory-Domäne und treten Sie ihr mit den folgenden Befehlen bei.
# realm discover ad.example.com ad.example.com type: kerberos realm-name: AD.EXAMPLE.COM domain-name: ad.example.com configured: no server-software: active-directory client-software: sssd required-package: oddjob required-package: oddjob-mkhomedir required-package: sssd required-package: adcli required-package: samba-common-tools
# realm join ad.example.com Password for Administrator: realm: Joined ad.example.com domain
3. Überprüfen Sie die Kerberose-Konfigurationsdatei /etc/krb5.conf enthalten:
# cat /etc/krb5.conf
# Configuration snippets may be placed in this directory as well
includedir /etc/krb5.conf.d/
[logging]
default = FILE:/var/log/krb5libs.log
kdc = FILE:/var/log/krb5kdc.log
admin_server = FILE:/var/log/kadmind.log
[libdefaults]
default = DOMAIN.EXAMPLE.COM
dns_lookup_realm = true
dns_lookup_kdc=true
ticket_lifetime = 24h
renew_lifetime = 7d
forwardable = true
rdns = false
default_ccache_name = KEYRING:persistent:%{uid}
default_realm = DOMAIN.EXAMPLE.COM
default_ccache_name = KEYRING:persistent:%{uid}
[realms]
AD.EXAMPLE.COM = {
kdc = [hostname_of_server].domain.example.com:88
admin_server = domain.example.com
}
[domain_realm]
.domain.example.com = DOMAIN.EXAMPLE.COM
domain.example.com = DOMAIN.EXAMPLE.COM 4. Überprüfen Sie /etc/sssd/sssd.conf auf die folgenden Einträge.
# cat /etc/sssd/sssd.conf [sssd] domains = domain.example.com config_file_version = 2 services = nss, pam [domain/domain.example.com] ad_server = domain.example.com ad_domain = domain.example.com krb5_realm = DOMAIN.EXAMPLE.COM realmd_tags = manages-system joined-with-adcli cache_credentials = True id_provider = ad krb5_store_password_if_offline = True default_shell = /bin/bash ldap_id_mapping = True use_fully_qualified_names = True fallback_homedir = /home/%u@%d access_provider = ad enumeration = True
5. Weisen Sie sssd.conf die entsprechende Berechtigung zu.
# chown root:root /etc/sssd/sssd.conf # chmod 0600 /etc/sssd/sssd.conf # restorecon /etc/sssd/sssd.conf # authconfig --enablesssd --enablesssdauth --enablemkhomedir --update # systemctl start sssd
Bestätigen
Überprüfen Sie die Verbindung mit folgendem Befehl:
# id [email protected] # ssh [email protected]
Beispiele für diese Befehle sind unten gezeigt.
# id [email protected] uid=1348601103([email protected]) gid=1348600513(domain [email protected]) groups=1348600513(domain [email protected])
# ssh [email protected]@127.0.0.1 [email protected]@127.0.0.1's password: Creating home directory for [email protected]. $ pwd /home/ad.example.com/user