LinuxでWindows ADに接続するための認証メカニズムは何ですか？

Question

sssdこれがrealmdこれを行う最も簡単な方法です。次の手順は、私のCentOSシステムをドメインにインポートし、Active Directory（AD）セキュリティグループ内の特定のユーザーにのみアクセスを制限できるようにするために行ったことです。

メモ:すべてのステップは、次の2つのリンクで行われます。

パッケージのインストール

$ sudo yum install -y sssd realmd oddjob oddjob-mkhomedir adcli \
   samba-common samba-common-tools krb5-workstation openldap-clients \
   policycoreutils-python

ファイルを編集/etc/resolv.confし、次の2行を挿入します。

$ sudo vi /etc/resolv.conf
search <domain>
nameserver <ip>

AD DOMに参加

Active Directory で表示するドメインに Linux コンピュータを参加させ、現在ドメイン内にあることを確認します。

$ sudo realm join --user=<user with permissions to add users to the domain> <domain>
$ sudo realm list

編集する/etc/sssd/sssd.conf：

~から

use_fully_qualified_names = True
fallback_homedir = /home/%u@%d

到着

use_fully_qualified_names = False
fallback_homedir = /home/%u

その後、sssdサービスを再起動します。

$ sudo systemctl restart sssd

sudoの設定

ADで使用するグループを作成し、/etc/sudoers.d/<group Name>ファイルを編集し、ユーザーアクセス権を追加します。

$ sudo touch /etc/sudoers.d/sudoers
$ sudo vi !$

sudoersグループに必要な権限をファイルに挿入します。

%sudoers    ALL=(ALL)       ALL

メモ:システム管理者にADで同じグループを作成してもらいます。

SSHを介してシステムにアクセスできるグループまたはユーザーを編集します。/etc/ssh/sshd_configグループを編集してAllowGroupsセクションに追加します。AllowGroups設定ファイルに追加する必要があるかもしれません。私は次のことをしなければなりませんでした。

AllowGroups sudoers node_access

2つのグループがあり、グループを.editedsudoersしてこのファイルに追加し、グループ内のユーザーにのみSSHアクセスを許可しました。node_access/etc/security/access.confsudoersnode_access

ファイルの次の部分に（）内のグループを追加しますaccess.conf。

# Same, but make sure that really the group wheel and not the user
# wheel is used (use nodefgroup argument, too):
#
-:ALL EXCEPT (wheel) shutdown sync:LOCAL (sudoers) (node_access)

sssdサービスを再起動してテストします。

Answer 1

sssdこれがrealmdこれを行う最も簡単な方法です。次の手順は、私のCentOSシステムをドメインにインポートし、Active Directory（AD）セキュリティグループ内の特定のユーザーにのみアクセスを制限できるようにするために行ったことです。

メモ:すべてのステップは、次の2つのリンクで行われます。

パッケージのインストール

$ sudo yum install -y sssd realmd oddjob oddjob-mkhomedir adcli \
   samba-common samba-common-tools krb5-workstation openldap-clients \
   policycoreutils-python

ファイルを編集/etc/resolv.confし、次の2行を挿入します。

$ sudo vi /etc/resolv.conf
search <domain>
nameserver <ip>

AD DOMに参加

Active Directory で表示するドメインに Linux コンピュータを参加させ、現在ドメイン内にあることを確認します。

$ sudo realm join --user=<user with permissions to add users to the domain> <domain>
$ sudo realm list

編集する/etc/sssd/sssd.conf：

~から

use_fully_qualified_names = True
fallback_homedir = /home/%u@%d

到着

use_fully_qualified_names = False
fallback_homedir = /home/%u

その後、sssdサービスを再起動します。

$ sudo systemctl restart sssd

sudoの設定

ADで使用するグループを作成し、/etc/sudoers.d/<group Name>ファイルを編集し、ユーザーアクセス権を追加します。

$ sudo touch /etc/sudoers.d/sudoers
$ sudo vi !$

sudoersグループに必要な権限をファイルに挿入します。

%sudoers    ALL=(ALL)       ALL

メモ:システム管理者にADで同じグループを作成してもらいます。

SSHを介してシステムにアクセスできるグループまたはユーザーを編集します。/etc/ssh/sshd_configグループを編集してAllowGroupsセクションに追加します。AllowGroups設定ファイルに追加する必要があるかもしれません。私は次のことをしなければなりませんでした。

AllowGroups sudoers node_access

2つのグループがあり、グループを.editedsudoersしてこのファイルに追加し、グループ内のユーザーにのみSSHアクセスを許可しました。node_access/etc/security/access.confsudoersnode_access

ファイルの次の部分に（）内のグループを追加しますaccess.conf。

# Same, but make sure that really the group wheel and not the user
# wheel is used (use nodefgroup argument, too):
#
-:ALL EXCEPT (wheel) shutdown sync:LOCAL (sudoers) (node_access)

sssdサービスを再起動してテストします。

LinuxでWindows ADに接続するための認証メカニズムは何ですか？

答え1

パッケージのインストール

AD DOMに参加

sudoの設定

関連情報