Příspěvek nastiňuje kroky k integraci serverů CentOS/RHEL 6 (klient) do domény AD s LDAP/Kerberos/SSSD.
1. Nainstalujte požadované balíčky:
# yum install sssd samba-common krb5-workstationPoznámka :Ujistěte se, že NTP běží a funguje podle očekávání a přidejte svůj AD server do /etc/hosts
2. Nakonfigurujte /etc/krb5.conf podobat následujícímu::
# vi /etc/krb5.conf
[logging]
kdc = SYSLOG:DEBUG
default = FILE:/var/log/krb5libs.log
kdc = FILE:/var/log/krb5kdc.log
admin_server = FILE:/var/log/kadmind.log
[libdefaults]
default_realm = EXAMPLE.COM
dns_lookup_realm = false
dns_lookup_kdc = false
ticket_lifetime = 24h
renew_lifetime = 7d
forwardable = true
allow_weak_crypto = true
[realms]
EXAMPLE.COM = {
kdc = adserver.example.com
admin_server = adserver.example.com
}
[domain_realm]
example.com = EXAMPLE.COM
.example.com = EXAMPLE.COM 3. Nakonfigurujte /etc/samba/smb.conf podobat následujícímu:
# vi /etc/samba/smb.conf [global] workgroup = ADGRP realm = EXAMPLE.COM security = ads kerberos method = secrets and keytab log file = /var/log/samba/log.%m max log size = 50 client signing = yes client use spnego = yes idmap config * : backend = tdb password server = adserver.example.com
4. Otevřete lístek Kerberos jako správce AD:
# kinit your-admin-userPoznámka :Ujistěte se, že jste odstranili starý klíč v případě, že je předložen. :“rm /etc/krb5.keytab”
5. Připojte stroj OL k Active Directory a vygenerujte Keytab:
# net ads join createupn=host/[email protected] -k # net ads keytab create -k
6. Spuštěním následujícího povolte SSSD v /etc/nsswitch.conf a PAM:
# authconfig --enablesssd --enablesssdauth --enablelocauthorize --enablemkhomedir --update
7. Vytvořte soubor /etc/sssd/sssd.conf a nastavte správná oprávnění:
# echo > /etc/sssd/sssd.conf # chmod 600 /etc/sssd/sssd.conf
8. Nakonfigurujte soubor /etc/sssd/sssd.conf tak, aby se podobal následujícímu:
# vi /etc/sssd/sssd.conf [sssd] config_file_version = 2 debug_level = 9 domains = example.com services = nss, pam cache_credentials = true ad_server = adserver.example.com id_provider = ad access_provider = ad [domain/example.com] id_provider = ad debug_level = 9 access_provider = ad override_homedir = /home/%u default_shell = /bin/bash auth_provider = ad chpass_provider = ad ldap_schema = ad cache_credentials = true use_fuly_qualified_domain_name = true ad_enable_gc = false
9. Restartujte službu SSSD, aby se změny projevily.
# service sssd restart
Poznámky
Mapování id SSSD je identické s autorid Winbind, pro které používá stejný algoritmus ke generování UID a GID uložených v místní mezipaměti na základě atributu SID objektu LDAP, takže všechny počítače používající SSSD s mapováním id jsou konzistentní v identifikátorech UID a GID.
V případě, že vaše prostředí Active Directory obsahuje atributy POSIX namísto pouze uživatelských jmen a SID, můžete použít následující dodatečné konfigurace v rámci [domény] sekce
ldap_id_mapping = false
Informace o atributu Shell a Home Directory můžete také přepsat změnou parametru fallback_homedir a default_shell na override_homedir a override_shell . „Záložní “ a „výchozí “ možnosti budou použity pouze v případě, že tyto informace nebudou vráceny z AD. Nicméně možnosti „přepsat“ přepíší vše, co AD vrátí, bez ohledu na to.
Vezměte také na vědomí, že kdykoli provedete významné změny, jako je tato, na SSSD nebo si nejste jisti, zda by se místní mezipaměť SSSD měla obnovit, vždy poté spusťte následující:
# service sssd stop # rm -rf /var/log/sssd/* # rm -rf /var/lib/sss/db/* # service sssd start