Popis

Návod pro připojení Linuxového operačního systému z rodiny RHEL do adresářové služby Microsoft Active Directory a nastavení oprávnění přístupu.

Připojení Almalinuxu do AD

1. Nainstalujte následující balíčky pomocí balíčkového správce dané distribuce
   1. samba-common-tools
   2. realmd
   3. oddjob
   4. oddjob-mkhomedir 
   5. sssd
   6. adcli
   7. krb5-workstation
      Instalace balíčků

      dnf install samba-common-tools realmd oddjob oddjob-mkhomedir sssd adcli krb5-workstation

2. Ověřte, že je doména, ke které se chcete připojit dostupná
   Ověření domény

   realm discover ad.example.com

3. Připojte stroj do domény pomocí příkazu realm - využijte konkrétní doménový účet s oprávněním pro zařazování strojů do domény (budete vyzvání k zadání hesla)
   Připojení do domény

   realm join ad.example.com -U user

4. Upravte konfigurační soubor služby sssd, která spravuje zabezpečení systému
   1. Zrušte používání FQDN
   2. Upravte cestu domovského adresáře
   3. Přidejte přístupový filtr
      1. Je možné pomocí LDAP OID 1.2.840.113556.1.4.1941 umožnit přístup i členům zanořených skupin v primární skupině
   4. Vypněte ověřování pomocí GPO
      /etc/sssd/sssd.conf

      [sssd]
      domains = ad.example.com
      config_file_version = 2
      services = nss, pam
      
      [domain/ad.example.com]
      default_shell = /bin/bash
      krb5_store_password_if_offline = True
      cache_credentials = True
      krb5_realm = AD.EXAMPLE.COM
      realmd_tags = manages-system joined-with-adcli 
      id_provider = ad
      fallback_homedir = /home/%u
      ad_domain = ad.example.com
      use_fully_qualified_names = False
      ldap_id_mapping = True
      access_provider = ad
      ad_gpo_access_control = disabled
      ad_access_filter = DOM:AD.EXAMPLE.COM:(memberOf:1.2.840.113556.1.4.1941:=CN=pristupova_skupina,OU=organizacni_jednotka,DC=ad,DC=example,DC=com)

5. restartujte stroj