Используемые термины: SSH, Active Directory, CentOS.
Мы рассмотрим простые примеры команд, которые позволят настроить аутентификацию пользователей Active Directory на Linux для входа по SSH. Данная инструкция подойдет для CentOS версий 7 и 8.
Обновляем список пакетов:
yum update
Задаем имя компьютеру:
hostnamectl set-hostname mypc.domain.local
Устанавливаем часовой пояс (у меня московское время):
timedatectl set-timezone Europe/Moscow
Устанавливаем сервис для синхронизации времени и запускаем его:
yum install chrony
systemctl enable chronyd —now
Устанавливаем пакеты:
yum install realmd sssd oddjob oddjob-mkhomedir adcli samba-common samba-common-tools
* где:
Сканируем наш домен:
realm discover DOMAIN.LOCAL
Вводим компьютер в домен:
realm join -U username DOMAIN.LOCAL
* DOMAIN.LOCAL — ваш домен.** username — имя учетной записи с правом вводить компьютер в домен.
Настраиваем sssd для возможности вводить логин без префикса домена:
vi /etc/sssd/sssd.conf
…use_fully_qualified_names = False…
Разрешаем создавать домашние директории новым пользователям:
authconfig —enablemkhomedir —enablesssdauth —updateall
Запускаем сервис sssd:
systemctl enable sssd.service
systemctl restart sssd
Готово. Пробуем зайти по SSH под доменной учетной записью.
Мы настроили возможность авторизовываться в системе для любого пользователя в Active Directory. Попробуем ограничить доступ с помощью групп безопасности.
Мы можем задать настройки в конфигурационном файле:
simple_allow_groups = Domain [email protected]
* где в данном примере предоставлен доступ все пользователям группы Domain Admins.
После внесения изменений нужно перезагрузить сервис sssd:
Также мы можем управлять настройками командами.
Сначала очистим доступ:
realm deny -a
Теперь дадим разрешение для 3-х групп:
realm permit -g «Domain Admins»@domain.local
realm permit -g «Тестовая группа»@domain.local
realm permit -g [email protected]
* данные команды разрешают вход пользователям групп Domain Admins, Тестовая группа, ssh.
Продолжая использовать данный сайт вы принимаете политику конфиденциальности и cookies