우리 회사에서는 더 쉬운 사용자 관리를 위해 CentOS 7 인스턴스를 Active Directory에 연결해 달라고 요청했습니다.
지금까지 나는 다음을 살펴보았습니다:
- Kerberos, 명령줄을 통해 이 작업을 수행하세요.CentOS Linux를 Active Directory 도메인에 가입시키는 방법
- 오픈LDAP -24.7. 인증을 위해 OpenLDAP를 사용하도록 시스템 구성
실사를 수행하기 위해 사용해야 하는 다른 도구나 자원이 있습니까?
답변1
sssd이것이 realmd이 작업을 수행하는 가장 쉬운 방법입니다. 다음 단계는 내 CentOS 시스템을 도메인으로 가져오고 AD(Active Directory) 보안 그룹의 특정 사용자에게만 액세스를 제한할 수 있도록 하기 위해 수행한 작업입니다.
노트:모든 단계는 다음 두 링크에서 수행됩니다.
- https://www.rootusers.com/how-to-join-centos-linux-to-an-active-directory-domain/
- https://askubuntu.com/questions/545058/ssh-allow-windows-ad-groupswith-special-charactors
패키지 설치
$ sudo yum install -y sssd realmd oddjob oddjob-mkhomedir adcli \
samba-common samba-common-tools krb5-workstation openldap-clients \
policycoreutils-python
파일을 편집 /etc/resolv.conf하고 다음 두 줄을 삽입합니다.
$ sudo vi /etc/resolv.conf
search <domain>
nameserver <ip>
AD DOM에 가입
Active Directory에서 보려는 도메인에 Linux 컴퓨터를 가입시키고 현재 도메인에 있는지 확인하세요.
$ sudo realm join --user=<user with permissions to add users to the domain> <domain>
$ sudo realm list
편집하다 /etc/sssd/sssd.conf:
use_fully_qualified_names = True
fallback_homedir = /home/%u@%d
use_fully_qualified_names = False
fallback_homedir = /home/%u
그런 다음 sssd서비스를 다시 시작합니다.
$ sudo systemctl restart sssd
sudo 설정
AD에서 사용할 그룹을 생성 /etc/sudoers.d/<group Name>하고 파일을 편집하고 사용자 액세스 권한을 추가합니다.
$ sudo touch /etc/sudoers.d/sudoers
$ sudo vi !$
sudoers그룹에 대해 원하는 권한을 파일에 삽입합니다.
%sudoers ALL=(ALL) ALL
노트:시스템 관리자에게 AD에서 동일한 그룹을 생성하도록 하십시오.
SSH를 통해 시스템에 액세스할 수 있는 그룹 또는 사용자를 편집합니다. /etc/ssh/sshd_config그룹을 편집 하고 AllowGroups섹션에 추가합니다. AllowGroups구성 파일에 추가해야 할 수도 있습니다 . 저는 다음을 수행해야 했습니다.
AllowGroups sudoers node_access
두 개의 그룹이 있고 그룹을 .edited sudoers하고 이 파일에 추가하여 및 그룹 의 사용자에게만 SSH 액세스를 허용했습니다.node_access/etc/security/access.confsudoersnode_access
파일의 다음 부분에 () 안의 그룹을 추가합니다 access.conf.
# Same, but make sure that really the group wheel and not the user
# wheel is used (use nodefgroup argument, too):
#
-:ALL EXCEPT (wheel) shutdown sync:LOCAL (sudoers) (node_access)
sssd서비스를 다시 시작 하고 테스트합니다.