Jak připojit Almalinux (RHEL) do domény

Owned by Robert Čížek (Unlicensed)
Last updated: 04 pro, 2023

Popis

Návod pro připojení Linuxového operačního systému z rodiny RHEL do adresářové služby Microsoft Active Directory a nastavení oprávnění přístupu.

Připojení Almalinuxu do AD

  1. Nainstalujte následující balíčky pomocí balíčkového správce dané distribuce
    1. samba-common-tools
    2. realmd
    3. oddjob
    4. oddjob-mkhomedir 
    5. sssd
    6. adcli
    7. krb5-workstation
      Instalace balíčků
      dnf -y install samba-common-tools realmd oddjob oddjob-mkhomedir sssd adcli krb5-workstation
  2. Ověřte, že je doména, ke které se chcete připojit dostupná
    Ověření domény
    realm discover ad.example.com
  3. Připojte stroj do domény pomocí příkazu realm - využijte konkrétní doménový účet s oprávněním pro zařazování strojů do domény (budete vyzvání k zadání hesla)
    Připojení do domény
    realm join ad.example.com -U user
  4. Upravte konfigurační soubor služby sssd, která spravuje zabezpečení systému
    1. Zrušte používání FQDN
    2. Upravte cestu domovského adresáře
    3. Přidejte přístupový filtr
      1. Je možné pomocí LDAP OID 1.2.840.113556.1.4.1941 umožnit přístup i členům zanořených skupin v primární skupině
    4. Vypněte ověřování pomocí GPO
      /etc/sssd/sssd.conf
      [sssd]
domains = ad.example.com
config_file_version = 2
services = nss, pam

[domain/ad.example.com]
default_shell = /bin/bash
krb5_store_password_if_offline = True
cache_credentials = True
krb5_realm = AD.EXAMPLE.COM
realmd_tags = manages-system joined-with-adcli 
id_provider = ad
fallback_homedir = /home/%u
ad_domain = ad.example.com
use_fully_qualified_names = False
ldap_id_mapping = True
access_provider = ad
ad_gpo_access_control = disabled
ad_access_filter = DOM:AD.EXAMPLE.COM:(memberOf:1.2.840.113556.1.4.1941:=CN=pristupova_skupina,OU=organizacni_jednotka,DC=ad,DC=example,DC=com)

      Sudo a GPO

      Pozor! V případě předpokládaného využívání příkazu sudo běžnými uživateli (

      Chybné vykreslení makra 'jira' : Nepodařilo se vyhledat server Jira pro toto makro. Problém může být v konfiguraci propojení aplikací.
      ) může nastat problém identifikovatelný řádkem:

      /var/log/secure
      pam_sss(login:account): Access denied for user <user>: 4 (System error)

      Jedná se o chybu systému, která ještě nebyla vývojáři opravena. Obejít ji lze následující změnou v konfiguraci SSSD:

      /etc/sssd/sssd.conf
      ad_gpo_access_control = permissive
  5. restartujte stroj

Administrace

Použijte soubor /etc/sudoers k poskytnutí oprávnění konkrétní skupině uživatelů v AD.

%admin_skupina ALL=(ALL) ALL



Využití POSIX atributů

Active directory účet obsahuje 

729001


Související články

Související problémy

summary created updated assignee reporter status

Nepodařilo se vyhledat server Jira pro toto makro. Problém může být v konfiguraci propojení aplikací.