¿Cómo unir Linux CentOS al dominio de Active Directory con SSSD?

Muchos manuales en línea muestran cómo usar Samba y Winbind para unir Linux a un dominio de Active Directory. En este artículo, mostraremos una forma alternativa de agregar su computadora o servidor Linux al dominio usando realmd (Realm Discovery) y SSSD (System Security Services Daemon). En este artículo, mostraremos cómo unir el servidor CentOS 8.1 a su dominio de Active Directory (basado en Windows Server 2016 ).

Realmd le permite configurar la autenticación y la membresía del dominio (en AD o IPA/FreeIPA) sin configuraciones complejas. La información del dominio se descubre automáticamente. Realmd utiliza SSSD para autenticar y verificar las cuentas de usuario.

Para unirse con éxito a un dominio de Active Directory, debe cumplir los siguientes requisitos en su servidor CentOS:

Configurar la sincronización de la hora con el controlador de dominio de Active Directory (y su DC con el papel PDC debe sincronizar la hora con el servidor NTP externo ). De lo contrario, el SSSD no puede funcionar correctamente. Este servicio sólo admite Kerberos (y no puede utilizarse para la autenticación mediante el NTLM). Por consiguiente, la diferencia de tiempo entre el cliente DC y el cliente Linux no debería ser superior a 5 minutos.
En Linux Centos, debe configurar el cliente DNS para usar el servicio DNS en los controladores de dominio.

Instalar el cliente NTP (chrony) en CentOS:

# yum install - chrony

Luego, en el archivo de configuración /etc/chrony.conf, especifique los FQDN o las direcciones IP de los servidores NTP para la sincronización (estos pueden ser sus controladores de dominio AD):

LEER TAMBIÉN Cómo usar el Bash Sort Command?

# nano /etc/chrony.conf
servidor dc01.test.com iburst

Inicie el servicio NTP y añádalo al arranque automático:

# systemctl start chronyd
# systemctl enable chronyd

Ahora agregue las direcciones de los servidores DNS responsables de resolver los nombres en su dominio de Active Directory a su archivo /etc/resolv.conf:

# nano /etc/resolv.conf
search test.com
servidor de nombres 192.168.1.201
servidor de nombres 192.168.1.200

Ahora instala los paquetes necesarios desde los repositorios de CentOS:

# yum install adcli krb5-workstation realmd sssd

Nota. Si está usando otra distro de Linux o una versión anterior de CentOS, asegúrese de que la versión del paquete SSSD es más reciente que la 1.9.0. El soporte completo para AD en el SSDD apareció sólo desde esta versión. En nuestro ejemplo, se utiliza sssd-2.2.

Verifica que la herramienta de rearme pueda descubrir tu dominio de AD:

# realm discover test.com --verbos

Si la utilidad detecta con éxito su dominio de AD, aparecerá la siguiente respuesta:

* Resolviendo:

* Realizando la búsqueda de LDAP DSE en: 192.168.1.201

* Descubierto con éxito: test.com

test.com

tipo: kerberos

nombre del reino: TEST.COM

nombre de dominio: test.com

configurado: no

software de servidor: active-directory

software cliente: sssd

paquete requerido: trabajo impar

required-package: oddjob-mkhomedir

paquete obligatorio: sssd

paquete requerido: adcli

paquete requerido: herramientas comunes de samba

Ahora especifica los valores de los atributos AD operatingSystem y operatingSystemVersion en el archivo de configuración /etc/realmd.conf:

# nano /etc/realmd.conf
[directorio activo]
os-name = CentOS Linux
os-versión = 8.1.1911 (Core)

Ahora puedes unir tu servidor CentOS al dominio de Active Directory. Para ello, usa el comando realm join . En el siguiente comando, especificamos el nombre de usuario con los permisos para agregar el computador al dominio y la Unidad organizativa en la que quieres poner la cuenta de tu computador Linux.

# realm join --user=jbrion --computer-ou="OU=Servidores,OU=RU,DC=test,DC=com" test.com

La utilidad le pedirá la contraseña del usuario de AD. Después de ejecutar el comando, abra la consola Active Directory Users and Computers (dsa.msc), y asegúrese de que la cuenta de su servidor CentOS aparece en el contenedor especificado de AD.

LEER TAMBIÉN Guía de instalación de Arch Linux completa

Ejecute el comando realm list y verifique que aparezca la línea server-software: active-directory . Esto significa que este servidor es miembro de un dominio de Active Directory.

Para no especificar el nombre de dominio completo cuando los usuarios se conectan, puede añadir la línea al archivo /etc/sssd/sssd.conf:

use_fully_qualified_names = False

Cookie	Duración	Descripción
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.

Deja un comentario Cancelar la respuesta