Almalinux 8 通过“realmd”服务加入AD域
朋友公司的 的Linux服务器,需要不同的人员进行登录维护,为了方便账户管理实现统一认证,要求Linux服务器登录实现Windows AD域验证
软件环境
Linux系统版本:AlmaLinux release 8.10 (Cerulean Leopard)
Linux系统主机名:Jira
Linux系统完全限定主机名:Jira.houyuxi.com
域名:houyuxi.com
域DNS:10.33.1.1
操作步骤
1、Linux系统配置DNS和搜索域,域名要完全限定名称“主机名.域名”,例如 jira.houyuxi.com
[root@jira ~]# hostnamectl set-hostname jira.houyuxi.com
2、配置全局DNS(所使用的通讯网口DNS也需要配置为域DNS,配置不演示)
[root@jira ~]# vim /etc/resolv.conf
search houyuxi.com #域名
nameserver 10.33.1.1 #域DDNS
3、安装ad所需要的服务,本次入域采用“realmd”方式。
[root@jira ~]# dnf -y install sssd oddjob oddjob-mkhomedir adcli samba-common-tools realmd
4、使用realmd服务看看能不能发现域信息。
[root@jira ~]# realm discover houyuxi.com #域名
5、使用realm join命令将当前Linux操作系统系统加入域中(使用-U选项来指定域控管理员账号,然后输入该管理员账户的密码)。
[root@jira ~]# realm join -U administrator houyuxi.com
6、检查使用加域成功,与此同时域内也可以看到此设备。
[root@jira ~]# realm list
7、配置可以访问该Linux操作系统的域账户或组。
[root@jira ~]# sudo realm deny zhangsan@houyuxi.com #拒绝该用户登录
[root@jira ~]# sudo realm permit Adinistrator@houyuxi.com #允许该用户登录
[root@jira ~]# sudo realm permit -g 'Domain Users' #允许该用户组登录
[root@jira ~]# sudo realm deny -g 'Domain Users' #拒绝该用户组登录
[root@jira ~]# sudo realm permit --all #允许所有用户登录
[root@jira ~]# sudo realm deny --all #拒绝所有用户登录
8、配置sssd.conf,取消用户完全限定名称(按需非必要)。
[root@jira ~]# vim /etc/sssd/sssd.conf
[sssd]
domains = HOUYUXI.COM
config_file_version = 2
services = nss, pam
[domain/HOUYUXI.COM]
ad_domain = HOUYUXI.COM
krb5_realm = HOUYUXI.COM
realmd_tags = manages-system joined-with-adcli
cache_credentials = True
id_provider = ad
krb5_store_password_if_offline = True
default_shell = /bin/bash
ldap_id_mapping = True
use_fully_qualified_names = False #仅参考此句,将 True 改为 False 后可以取消用户完全限定名称
fallback_homedir = /home/%u@%d #用户目录
access_provider = simple
simple_allow_users = zhangsan、lisi #允许登录的的用户名称
8、重启sssd服务
[root@jira ~]# systemctl restart sssd
9、配置sudoers文件,对用户进行系统权限授权,允许使用sudo 提取到root权限;
[root@jira ~]# visudo
配置文件添加下方信息,二选一
%domain^admins ALL=(ALL) NOPASSWD: ALL #只允许域管理员用户才能使用sudo命令
%Domain Users ALL=(ALL) ALL #只允许特定用户才能使用sudo命令,Domain Users换成特定用户账号信息。
10、配置完成后使用允许的账户登录验证即可,例如。
ssh zhangsan@jira.houyuxi.com