Der Beitrag beschreibt Schritte zur Integration von CentOS/RHEL 6 (Client)-Servern in eine AD-Domäne mit LDAP/Kerberos/SSSD.
1. Installieren Sie die erforderlichen Pakete:
# yum install sssd samba-common krb5-workstationHinweis :Stellen Sie sicher, dass NTP ausgeführt wird und wie erwartet funktioniert, und fügen Sie Ihren AD-Server in /etc/hosts hinzu
2. Konfigurieren Sie /etc/krb5.conf wie folgt aussehen::
# vi /etc/krb5.conf
[logging]
kdc = SYSLOG:DEBUG
default = FILE:/var/log/krb5libs.log
kdc = FILE:/var/log/krb5kdc.log
admin_server = FILE:/var/log/kadmind.log
[libdefaults]
default_realm = EXAMPLE.COM
dns_lookup_realm = false
dns_lookup_kdc = false
ticket_lifetime = 24h
renew_lifetime = 7d
forwardable = true
allow_weak_crypto = true
[realms]
EXAMPLE.COM = {
kdc = adserver.example.com
admin_server = adserver.example.com
}
[domain_realm]
example.com = EXAMPLE.COM
.example.com = EXAMPLE.COM 3. Konfigurieren Sie /etc/samba/smb.conf wie folgt aussehen:
# vi /etc/samba/smb.conf [global] workgroup = ADGRP realm = EXAMPLE.COM security = ads kerberos method = secrets and keytab log file = /var/log/samba/log.%m max log size = 50 client signing = yes client use spnego = yes idmap config * : backend = tdb password server = adserver.example.com
4. Öffnen Sie ein Kerberos-Ticket als AD-Administrator:
# kinit your-admin-userHinweis :Stellen Sie sicher, dass Sie den alten Schlüssel entfernen, falls dieser angezeigt wird. :„rm /etc/krb5.keytab“
5. Verbinden Sie den OL-Computer mit Active Directory und generieren Sie eine Keytab:
# net ads join createupn=host/[email protected] -k # net ads keytab create -k
6. Führen Sie Folgendes aus, um SSSD in /etc/nsswitch.conf zu aktivieren und PAM:
# authconfig --enablesssd --enablesssdauth --enablelocauthorize --enablemkhomedir --update
7. Erstellen Sie /etc/sssd/sssd.conf und die richtigen Berechtigungen festlegen:
# echo > /etc/sssd/sssd.conf # chmod 600 /etc/sssd/sssd.conf
8. Konfigurieren Sie /etc/sssd/sssd.conf so, dass es wie folgt aussieht:
# vi /etc/sssd/sssd.conf [sssd] config_file_version = 2 debug_level = 9 domains = example.com services = nss, pam cache_credentials = true ad_server = adserver.example.com id_provider = ad access_provider = ad [domain/example.com] id_provider = ad debug_level = 9 access_provider = ad override_homedir = /home/%u default_shell = /bin/bash auth_provider = ad chpass_provider = ad ldap_schema = ad cache_credentials = true use_fuly_qualified_domain_name = true ad_enable_gc = false
9. Starten Sie den SSSD-Dienst neu, damit die Änderungen wirksam werden.
# service sssd restart
Notizen
Die ID-Zuordnung von SSSD ist identisch mit der Autorid von Winbind, für die es denselben Algorithmus verwendet, um lokal zwischengespeicherte UIDs und GIDs basierend auf dem SID-Attribut eines LDAP-Objekts zu generieren, sodass alle Maschinen, die SSSD mit ID-Zuordnung verwenden, konsistente UID- und GID-Kennungen haben /P>
Falls Ihre Active Directory-Umgebung POSIX-Attribute statt nur Benutzernamen und SIDs enthält, können Sie die folgenden zusätzlichen Konfigurationen innerhalb der [Domäne] verwenden Abschnitt von
ldap_id_mapping = false
Sie können die Attributinformationen von Shell und Basisverzeichnis auch überschreiben, indem Sie fallback_homedir ändern und default_shell zu override_homedir und override_shell . Der „Fallback ‘ und ‚Standard ‘-Optionen werden nur verwendet, wenn diese Informationen nicht von AD zurückgegeben werden. Die „override“-Optionen überschreiben jedoch unabhängig davon, was AD zurückgibt.
Beachten Sie auch, dass Sie jedes Mal, wenn Sie wesentliche Änderungen wie diese an SSSD vornehmen oder nicht sicher sind, ob der lokale SSSD-Cache neu generiert werden soll, danach immer Folgendes ausführen:
# service sssd stop # rm -rf /var/log/sssd/* # rm -rf /var/lib/sss/db/* # service sssd start