Вводим CentOS 7 в Windows AD Domain

Настройка аутентификации SSH через AD

Поставим необходимые пакеты:

[root@sshserver]# yum install realmd sssd oddjob oddjob-mkhomedir adcli samba-common-tools

Проверим, что используемый DNS сервер имеет информацию о домене WIndows:

[root@sshserver]# nslookup msaddomain.local
Server: 192.168.0.20
Address: 192.168.0.20#53
Name: msaddomain.local
Address: 192.168.0.20

Если домен не резолвится, то в систему необходимо прописать DNS, который работает с AD в качестве DNS0.

Если домен резолвится, то вводим centOS сервер в Windows AD домен:

[root@sshserver]# realm discover msaddomain.local
[root@sshserver]# realm join -U msADadministrator msaddomain.local

* msaddomain.local — ваш AD домен.
** msADadministrator — имя учетной записи с правом вводить компьютер в домен.

Настраиваем sssd для возможности вводить логин без имени домена:

[root@sshserver]# vi /etc/sssd/sssd.conf

Установим параметр use_fully_qualified_names:

Далее разрешим создавать домашние директории новым пользователям в папке home:

[root@sshserver]# authconfig —enablemkhomedir —enablesssdauth —updateall

Запускаем сервис sssd и разрешаем его автозапуск:

[root@sshserver]# systemctl enable sssd.service
[root@sshserver]# systemctl restart sssd

теперь при ssh соединении можем спокойно авторизовываться с учетной записью AD, например для подключения к серверу sshserver:

Системное администрирование Linux

2017-11-13 16:53:18 9195 0

Добавление CentOs 7 в домен Windows

В развитой инфраструктуре, где имеется большое количество рабочих станций и серверов, управлением учетными записями обычно осуществляется посредством Windows Active Directory. Поэтому управление линукс серверами так же удобнее осуществлять через централизованное хранение учетных записей. Рассмотрим пример добавления линуксовой машины с операционной системой CentOs7 в домен Windows.

Отключаем SELINUX

sed -i «s/SELINUX=enforcing/SELINUX=disabled/» /etc/selinux/config

Установка iptables

systemctl stop firewalld

systemctl disable firewalld

yum install -y iptables-services

После установки запускаем iptables

systemctl start iptables

systemctl enable iptables

Устанавливаем необходимые пакеты:

yum install -y authconfig samba samba-winbind samba-client \

Настройка DNS

Указываем в качестве DNS сервера наш контроллер домена

Если на сервере настроен DHCP, то убедитесь что сервер получает правильные настройки dns-сервера и домена

Проверяем что имя домена резолвится

Присоединение сервера к домену

Запускаем утилиту authconfig-tui

Указываем:
Информация пользователя — Использовать Winbind
Аутентификация — Использовать Kerberos

Заполняем следующие поля:

• Область — область kerberos, совпадает с именем домена в верхнем регистре;
• KDC(Key Distribution Center ) — kerberos сервер, выступает как сервер по управлению и хранению билетов;
• Сервер администратор — совпадает с KDC;
• Остальные два пункта говорят нам использовать DNS для определения имен серверов и KDC для областей.

Заполняем следующие поля:

• Модель защиты — выбираем ads(означает, что используются протоколы, совместимые со службами ADS Windows 2008R2);
• Домен — вводим NetBios имя домена, без конечно части;
• Контроллеры домена — указываем адреса контроллеров домена;
• Область ADS — совпадает с именем домена;
• Оболочка шаблона — указывает какую оболочку будут иметь доменные пользователи на linux машине.

Запускаем демон Winbind

systemctl start winbind

systemctl enable winbind

Далее производим присоединение к домену

net ads join -U Administrator

Указываем пользователя под которым будем присоединять сервер и вводим его пароль, должны увидеть следующее:

Машина в домене

Для того чтобы пользователи и группы домена отображались на сервере и вы могли получать доступ к ним, необходимо в файле /etc/samba/smb.conf добавить строки

Для проверки можно использовать утилиту wbinfo и getent

Покажет пользователей домена:

Покажет группы домена:

Команда «getent passwd» и «getent group» отобразит локальные учетные записи + доменные и точно так же группы соответственно

Для использования доменных учетных записей необходимо сделать следующее:

Изменить значение директивы «winbind use default domain» в файле /etc/samba/smb.conf с false на true, что говорит использовать домен winbind по-умолчанию. И мы можем указывать доменных пользователей без приставки домена.

Добавить директиву «winbind separator» в файл /etc/samba/smb.conf

Что указывает символ отделения имени домена от имени пользователя.

Вики IT-KB

Пошаговые руководства, шпаргалки, полезные ссылки.

Инструменты пользователя

Инструменты сайта

Боковая панель

Содержание

CentOS Linux 7 — Присоединение к домену Active Directory средствами realmd/SSSD и настройка аутентификации и авторизации через доменные группы безопасности

Процедура присоединения Linux-системы к домену Active Directory с помощью SSSD (System Security Services Daemon) и RealmD (Realm Discovery) подробно рассматривалась ранее на примере Debian GNU/Linux 8.6. Данная статья является «выжимкой» основных этапов присоединения к домену Active Directory для системы на базе CentOS Linux 7.4.

Предварительные условия

На нашей Linux-системе, для успешного присоединения и членства в домене Active Directory, должно быть соблюдено как минимум два условия:

Присоединение к домену Active Directory

Устанавливаем необходимые для работы пакеты:

Проверяем успешность обнаружения домена:

Настраиваем параметры системы, которые будут использованы при присоединении к домену для заполнения атрибутов operatingSystem и operatingSystemVersion.

Выполняем присоединение к домену (в ходе присоединения будет запрошен пароль доменного пользователя с правами на ввод в домен, указанного в опции –user ):

Настройка Kerberos-клиента

Настраиваем конфигурационный файл, ранее установленного клиента Kerberos. Это может быть нужно в случае если мы захотим использовать удалённое Single sign-on (SSO) подключение через сервер SSHD (например через клиент Putty с Windows-системы, как это было описано ранее)

Пример готовой конфигурации:

Настройка SSSD

Настраиваем конфигурацию службы sssd

Пример готовой конфигурации:

Очищаем кэш sss и перезапускаем службу sssd:

Проверка взаимодействия с AD

Проверяем то, что в системе успешно зарегистрированы модули работы SSSD с PAM/NSS:

Проверяем успешность получения информации о пользователе из AD по логину:

Проверяем успешность получения информации о пользователе из AD по UPN:

Проверяем успешность получения информации из AD о членах доменной группы безопасности:

Пробуем войти в сессию доменного пользователя:

Успешно войдя в сессию доменного пользователя пробуем получить информацию о текущем пользователе (должен быть возвращён набор доменных групп, в которые входит пользователь):

Доступ к SUDO

Настроим доступ к возможности вызывать команду sudo, основанный на членстве в доменной группе безопасности: Создадим в каталоге /etc/sudoers.d/ новый файл, в котором будут перчислены группы безопасности:

Наполним файл (каждая отдельная группа с правилами доступа в отдельной строчке. в нашем примере используется одна группа с полным доступом):

Войдём в сесcию доменного пользователя, входящего в группу, которой мы разрешили выполять sudo:

Успешно войдя в сессию доменного пользователя пробуем выполнить любую команду с правами администратора системы используя sudo:

Как видим, работает. Осталось ограничить доступ на редактирование файла, в котором описаны правила предоставления доступа к sudo:

Настройка SSHD

Насстроим службу sshd для того, чтобы можно было использовать SSO-подключение.

Включим опции конфигурационного файла:

Ограничение доступа к системе через PAM

Чтобы ограничить доступ к CentOS Linux 7 на базе доменных групп безопасности, создадим новый конфигурационный файл, в котором будут перечислены группы (как локальные так и доменные), которым нужно обеспечить вход в систему:

Обратите внимание на то, что настраивая ограничение локального входа лучше не забыть добавить локальные группы root и sudo, иначе с дальнейшем вход в систему под локальными административными учётными записями может стать невозможен.

Ограничим доступ к файлу:

Настроим в системном конфиге /etc/pam.d/login правила PAM таким образом, чтобы в ходе авторизации при локальном входе на консоль нашей Linux-системы использдвался созданный нами выше файл со списком разрешённых групп:

Вставляем перед строкой « account include system-auth » вызов проверки нашего файла с группами:

Внимание! Невнимательное редактирование данного файла может привести в невозможности локального входа в систему, поэтому в ходе дальнейших проверок не закрывайте текущую сесиию, чтобы была возможность исправить возможные ошибки.

Теперь попробуем подключиться на консоль нашей Linux-системы, используя доменные учётные записи (те, которым разрешен вход через группу безопасности и те, которым не разрешён вход). В процессе проверки в отдельной сессии запустим наблюдение за логом безопасности, чтобы видеть то, что происходит в ходе авторизации для разрешённых и неразрешённых для входа пользователей.

Теперь аналогичным образом настроим в конфиге, относящемся к обработке авторизации в SSHD ( /etc/pam.d/sshd ) правила PAM таким образом, чтобы в ходе авторизации при удалённом входе через SSH-сервер использовался созданный нами выше файл со списком разрешённых групп (в нашем примере используется тот же файл, что и для локального входа, хотя это могут быть разные файлы и группы доступа):

Вставляем перед строкой « account include password-auth » вызов проверки нашего файла с группами:

Внимание! Невнимательное редактирование данного файла может привести в невозможности входа в систему через SSH-сервер, поэтому в ходе дальнейших проверок не закрывайте текущую сесиию, чтобы была возможность исправить возможные ошибки

Теперь попробуем удалённо подключиться к SSH-серверу нашей Linux-системы, используя доменные учётные записи (те, которым разрешен вход через группу безопасности и те, которым не разрешён вход). В процессе проверки в отдельной сессии запустим наблюдение за логом безопасности, чтобы видеть то, что происходит в ходе авторизации для разрешённых и неразрешённых для входа пользователей.

Если дополнительно требуется доменная аутентификация/авторизация в других сервисах CentOS Linux, например в веб-сервере Apache то, в качестве примера можно использовать статью Настройка Kerberos аутентификации с SSO на веб-сервере Apache с помощью SSSD

Проверено на следующих конфигурациях:

Версия ОС
CentOS Linux release 7.4.1708 (Core)
CentOS Linux release 7.5.1804 (Core)

Автор первичной редакции:
Алексей Максимов
Время публикации: 22.03.2018 10:34

Centos ввод домен windows

Представим ситуацию — есть машина c OC Linux, данную машину необходимо ввести в домен Windows, настроить вход в систему только тем пользователям, которые являются членами определенной группы в AD.

Примечание: ниже в статье все действия будут происходить на примере CentOS.

Установка samba-winbind

Создание А записи в DNS

• Смотрим какой IP адрес у машины:

• В Windows открываем консоль DNS — Forward Lookup Zones

• Создаем А запись, указываем имя машины и IP

Ввод в домен CentOS

• System — Administration — Authentication

В открывшемся окне, необходимо выбрать \ указать:

• User Account Database: Winbind
• Winbind Domain: DOMAIN
• Secutity Model: ads
• Winbind ADS Realm: DOMAIN.LOCAL
• Winbind Domain Controllers: DC01
• Template Shell: /bin/shell
• На вкладке Advanced Options, при необходимости отметить параметр: Create home directories on the first login
• Перейти на вкладку — Identity & Authentication, нажать кнопку — Join Domain.
• На запрос сохранения, необходимо нажать Save

Проверка

Для начала необходимо убедиться, что учетная запись создалась, смотрим дефолтную OU Computers в AD

Примечание: перед просмотром не забываем обновить отображение элементов

Если учетная запись существует, пробуем совершить вход в систему посредством учетной записи домена, все хорошо но на данную машину возможно совершать вход под любой учетной записью, здесь нужно немного безопасности.

Вход только членам определенной группы в AD

• Для этих целей необходимо создать группу или выбрать уже существующую
• Добавить членов, к примеру — Domain Admins, User1, User2
• Открыть файл — /etc/security/pam_winbind.conf
• Раскомментировать параметр — require_membership_of
• После знака равно, написать имя группы

После проведения всех действий, попробовать совершить вход в систему под различными учетными записями.

Примечание: формат логина должен содержать имя домена т.е. — domain\username

В Fedora пришлось доустановить winbind такой командой: yum -y install samba-winbind samba samba-winbind-krb5-locator