Porovnat verze

Version Stará verze 5 Nová verze Aktuální
Změny provedené

Robert Čížek

Robert Čížek

Uloženo na

Klíč

  • Tento řádek byl přidán.
  • Tento řádek byl odstraněn.
  • Formátování bylo změněno.

Popis

Výňatek
Multiexcerpt
MultiExcerptNamepopis
Návod pro připojení Linuxového operačního systému z rodiny RHEL do adresářové služby Microsoft Active Directory a nastavení oprávnění přístupu.

Obsah
maxLevel3

Připojení Almalinuxu do AD

  1. Nainstalujte následující balíčky pomocí balíčkového správce dané distribuce
    1. samba-common-tools
    2. realmd
    3. oddjob
    4. oddjob-mkhomedir 
    5. sssd
    6. adcli
    7. krb5-workstation
      Blok kódu
      languagebash
      titleInstalace balíčků
      dnf -y install samba-common-tools realmd oddjob oddjob-mkhomedir sssd adcli krb5-workstation
  2. Ověřte, že je doména, ke které se chcete připojit dostupná
    Blok kódu
    languagebash
    titleOvěření domény
    realm discover ad.example.com
  3. Připojte stroj do domény pomocí příkazu realm - využijte konkrétní doménový účet s oprávněním pro zařazování strojů do domény (budete vyzvání k zadání hesla)
    Blok kódu
    languagebash
    titlePřipojení do domény
    realm join ad.example.com -U user
  4. Upravte konfigurační soubor služby sssd, která spravuje zabezpečení systému
    1. Zrušte používání FQDN
    2. Upravte cestu domovského adresáře
    3. Přidejte přístupový filtr
      1. Je možné pomocí LDAP OID 1.2.840.113556.1.4.1941 umožnit přístup i členům zanořených skupin v primární skupině
    4. Vypněte ověřování pomocí GPO
      Blok kódu
      languagetext
      title/etc/sssd/sssd.conf
      linenumberstrue
      [sssd]
domains = ad.example.com
config_file_version = 2
services = nss, pam

[domain/ad.example.com]
default_shell = /bin/bash
krb5_store_password_if_offline = True
cache_credentials = True
krb5_realm = AD.EXAMPLE.COM
realmd_tags = manages-system joined-with-adcli 
id_provider = ad
fallback_homedir = /home/%u
ad_domain = ad.example.com
use_fully_qualified_names = False
ldap_id_mapping = True
access_provider = ad
ad_gpo_access_control = disabled
ad_access_filter = DOM:AD.EXAMPLE.COM:(memberOf:1.2.840.113556.1.4.1941:=CN=pristupova_skupina,OU=organizacni_jednotka,DC=ad,DC=example,DC=com)
      Varování
      titleSudo a GPO

      Pozor! V případě předpokládaného využívání příkazu sudo běžnými uživateli (

      Starší verze Jira
      serverServiceDeskPEF
      columnIdsissuekey,summary,issuetype,created,updated,duedate,assignee,reporter,priority,status,resolution
      columnskey,summary,type,created,updated,due,assignee,reporter,priority,status,resolution
      serverIdac94289a-d7eb-3afe-9986-0d73e2ad5d30
      keyTECH-2277
      ) může nastat problém identifikovatelný řádkem:

      Blok kódu
      languagebash
      title/var/log/secure
      pam_sss(login:account): Access denied for user <user>: 4 (System error)
      ve /var/log/secure.
      Jedná se o chybu systému, která ještě nebyla vývojáři opravena. Obejít ji lze následující změnou v konfiguraci SSSD:
       Blok kódu
      languagebash
      title/etc/sssd/sssd.conf
      ad_gpo_access_control = permissive
  5. restartujte stroj
 Informace
titleAdministrace
Použijte soubor /etc/sudoers k poskytnutí oprávnění konkrétní skupině uživatelů v AD.
%admin_skupina ALL=(ALL) ALL

 Filtrovat podle štítku (obsah podle štítku)
showLabelsfalse
max5
showSpacefalse
sortmodified
reversetrue
excludeCurrenttrue
cqllabel = "navod" and space = "TECH" and type = "page"

 
Využití POSIX atributů
Active directory účet obsahuje 
729001

 
Související články
 Filtrovat podle štítku (obsah podle štítku)
showLabelsfalse
max10
showSpacefalse
sortmodified
excludeCurrenttrue
cqllabel in ("alma-linux","rhel","linux") and label = "active-directory" and space = "TECH" and type = "page"
Související problémy
 Starší verze Jira
serverServiceDeskPEF
columnIdssummary,created,updated,assignee,reporter,status
columnssummary,created,updated,assignee,reporter,status
maximumIssues20
jqlQueryLabels IN (alma-linux, rhel, centos) 
serverIdac94289a-d7eb-3afe-9986-0d73e2ad5d30