通过AD域验证登录Linux系统(Linux安装sssd加入Windows AD域)

最新推荐文章于 2024-04-23 09:52:50 发布
最新推荐文章于 2024-04-23 09:52:50 发布
阅读量5.1k 收藏 14
点赞数
分类专栏: Linux 日常桌维记录 文章标签: linux 服务器 运维 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u010091664/article/details/126793857
版权

背景

有一台Centos 7 的Linux服务器,需要每个IT管理员都可以登录并进行维护,为了方便账户管理,统一认证,要求Linux服务器登录实现Windows AD域验证。

环境说明

AD域:Windows server 2019
AD域主机IP : 192.168.100.100
域名:hyz.com
管理员组: ITadmin (组内含:管理员-张三、管理员-李四、管理员-昭哥)
单独的审计用户: audit
在这里插入图片描述

实现过程

  1. 首先将AD域服务器的IP与主机对应关系写入Centos 的hosts文件中;
vim /etc/hosts
192.168.100.100  dc1.hyz.com    #这是我的AD域服务器IP与主机信息;

在这里插入图片描述

  1. Centos 7 安装sssd ;
yum -y install realmd sssd oddjob \
oddjob-mkhomedir adcli samba-common
realm join dc1.hyz.com -U administrator      #使用域管理员权限加域
Password for administrator: *******          #此处输入域管理员的密码
  1. 配置sssd.conf,对ITadmin组和单独的用户账户audit进行登录授权;
vim /etc/sssd/sssd.conf
ad_server = dc1.hyz.com
ad_domain = hyz.com
krb5_realm = HYZ.COM
realmd_tags = manages-system joined-with-adcli
cache_credentials = True
id_provider = ad
krb5_store_password_if_offline = True
default_shell = /bin/bash
ldap_id_mapping = True
use_fully_qualified_names = False          #改为  False
fallback_homedir = /home/%u                #改为  /home/%u
access_provider = simple
simple_allow_groups = ITadmin       #允许ITadmin组内成员登录此linux
simple_allow_users = audit          #允许单独的审计用户audit登录此linux
  1. 配置sudoers文件,对用户进行系统权限授权;
visudo

在配置文件中添加如下语句

%ITadmin  ALL=(ALL)      ALL

关闭防火墙,并重启 sssd 服务;

systemctl stop firewalld.service
systemctl restart sssd
  1. 验证
    使用域用户登录Centos 系统;
    在这里插入图片描述在这里插入图片描述
    在这里插入图片描述

命令扩展

realm permit --withdraw -g ITadmin; # 取消LoginNO组的登录权限

id zhaoge; # 从AD中获取域用户信息

id zhaoge; # 在/etc/sssh/sssd.conf中设置了use_fully_qualified_names为False的可以直接用

realm leave dc1.hyz.com; # 退出AD域

end!

昭哥-HYZ
关注
  • 0
    点赞
  • 14
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
WindowsLinux混合系统通过AD实现用户集中认证
悦分享
12-02 2167
管理的Linux服务器Windows服务器如果很多,如果都用本地用户名管理,要管理和记住几十台甚至上百台服务器的不同账号不同密码,这是很难的。但是如果所有服务器账号密码都设置一样,那又完全没有安全性可言。什么是服务器的集中认证(统一权限管理)?当服务器数量呈几何级增长之后,为每台机器维护单独的用户系统已经成为了一个几乎不可能完成的任务(试想下为一万台服务器上的每个用户每三个月修改一次密码)。
CentOS7加入AD.docx
09-30
现在,你可以使用 AD 身份验证登录系统,并与其他 AD 资源进行交互。但请注意,加入 AD 可能会影响系统原有的本地用户和组,因此在实际操作前务必做好备份和规划。 总结来说,将 CentOS 7 系统加入 AD 涉及...
linux sssd加入AD Key table file ‘/etc/krb5.keytab‘ not found
qq331565760的专栏
03-24 1052
linux sssd realm 加入AD
Linux 上清理 SSSD Cache
最新发布
Imagine Miracle的博客
04-23 526
只需删除存储缓存记录的文件即可轻松删除SSSD缓存,或者可以使用sss_cache工具更干净地完成此操作,该工具将使缓存中的指定记录无效。
Linux自动化一键配置AD集成 & 部署YUM源
hoyoly的博客
08-19 1395
Linux服务器自动化配置LDAP集成
linux服务器实现AD认证,Linux下用户启用Windows AD做集中认证
weixin_36140403的博客
04-30 1951
Why为什么要做服务器的集中认证(和统一权限管理)呢?简答之:当服务器数量呈几何级增长之后,为每台机器维护单独的用户系统已经成为了一个几乎不可能完成的任务(试想下为一万台服务器上的每个用户每三个月修改一次密码),虽然现在也可以通过类似于ansible之类的工具也可以比较容易地做到,但我们有更好的解决方案----统一认证,这样,只需要在一个地方维护用户数据即可,这样简洁可靠的方案,肯定比ansibl...
linux 加入ad 用ssh,使用samba验证AD用户,允许AD用户登录linux
weixin_30424461的博客
05-12 662
使用samba验证AD用户,允许AD用户登录linux2007年06月26日 星期二 14:101、先把samba加入AD中2、在smb.conf中添加一行,让登录进来的用户使用bashtemplate shell = /bin/bash3、运行authconfig,在验证中选择 使用smb和kerberos,winbind验证4、编辑login文件,更改成如下vi /etc/pam.d/...
ubuntu加入WindowsAD(使用SSSD和Realm的方式)
热门推荐
马哥私房菜
05-14 1万+
ubuntu加入WindowsAD(使用SSSD和Realm的方式)
Centos8 使用realmd加入AD
Linuxprobe18的博客
04-29 1221
导读 本文展示如何使用 realmd ,sssd将Centos7 / 8 加入到 Active Directory 。 本文还进一步为通过 AD 登录用户配置 sudo 规则。 设置主机名和DNS 下面命令用来设置正确的主机名和dns服务器地址: [root@Centos8-1 ~]# hostnamectl set-hostname Centos8-1.pangzb.com [root@Centos8-1 ~]# hostnamectl 配置可以和AD控制器通信的DNS.
linux登陆_Ubuntu 13.04 登录Windows
weixin_42398171的博客
01-14 499
在Ubuntu 13.04 登录Windows。首先安装Likewiseapt-get install likewise-open5之后登录用命令行测试domainjoin-cli chn.company.com account_name注意:1. chn.company.com是名,全小写2. account_name是自己的帐号,我的是来自于一台windows系统已经测试过的帐号,我是双系...
AD集成Windows登录验证方案(SSO实现)
weixin_43138214的博客
12-07 3915
AD集成Windows登录验证(SSO实现) 方案一:ie集成windows登录验证,使用组策略可实现免登录。 弊端:需要把web部署到IIS上面,技术较老 方案二:使用ldap连接AD,前端传送计算机用户名和密码,后端回应token给前端实现sso单点登录 弊端:用户需要手动输入一次密码 方案三:使用ldap连接AD,仅用用户名进行判断登录 前端:使用ie控件进行传输用户名,可以使用随机key加密信息传送给后端 弊端:只能使用ie登录,且需考虑安全性 后端:当客户端访问时会获取到客户端的ip地址,根
Linux SSSD(System Security Services Daemon)
多头注意力探索Now
06-27 1194
安全模块设计
sssd-ad-1.16.2-13.el7.x86_64.rpm
11-30
离线安装包,亲测可用
Linux-Active-Directory-join-script:活动目录Join脚本,适用于Ubuntu,Debian,CentOS,Linux Mint,Fedora,Kali,Elementary OS和Raspbian,并为Ubuntu内置了故障检查和调试模式。 “用于Linux的GITHUB上最先进和最新的AD连接​​脚本”
02-06
3. `realm`工具:这是一个命令行工具,用于配置和管理Kerberos和LDAP身份验证,它简化了将Linux系统加入AD的过程。 4. `activedirectory`标签可能指的是与AD相关的特定配置或软件包,用于支持AD集成。 5. 对于...
citrix-linuxvda-rhel7-1.2.0.tgz
06-09
本版本的 Linux VDA 向管理员提供使用 SSSDLinux 计算机加入的功能。 与使用利用 Winbind 的当前方法(以及其他方 法)相比,此功能提供对不同身份和身份验证提供程序的访问权限。 SSSD系统守护程序,其...
实验13Linux网络认证实验201911181
08-03
实验13 Linux网络认证实验主要关注的是在Linux环境中配置和使用Kerberos、LDAP以及...通过这个实验,学生将深入理解Kerberos的票据验证流程、LDAP的目录服务概念以及SAMBA如何在不同操作系统间实现资源共享和身份验证
suse linux集群加入AD问题
zyijia2011的专栏
03-28 1006
这两天在公司测试同事做linux集群加入AD,遇到了一些很奇怪的现象。具体现象如下:    1、主节点发起集群加入的命令,触发各个节点执行加入的动作。在控制器上发现有的节点成功加入,有的节点没有加进来。          加入的节点在控制器上有时会出现一个红叉叉。    2、跟踪日志出现的问题也很让人困惑。         有时出现,kerberos authenticati
linux下查看当前用户登录的命令
都是曾经而已
08-20 5090
1. 使用w命令查看登录用户正在使用的进程信息 w命令用于显示已经登录系统的用户的名称,以及他们正在做的事。该命令所使用的信息来源于/var/run/utmp文件。w命令输出的信息包括: ·        用户名称 ·        用户的机器名称或tty号 ·        远程主机地址 ·        用户登录系统的时间 ·        空闲时间(作用不大) ·     
为什么要把Linux机器加入Windows AD/控制器(Linux机器为什么要入)?
Laurence的技术博客
11-28 2149
1. 如何入?2. 如何判断入成功?3. 入的效果(目的)是什么?4. 入和SSSD之间是什么关系?
linux加入ad
09-13
要在Linux系统中将其加入Active Directory,可以按照以下步骤进行操作: 1. 安装必要的软件包:首先确保系统安装了以下软件包:realmd、sssd、krb5-workstation、oddjob、oddjob-mkhomedir和samba-common-tools。可以使用适用于您的Linux发行版的软件包管理器安装它们。 2. 配置Kerberos认证:编辑Kerberos配置文件(/etc/krb5.conf),添加适当的信息和服务器详细信息。确保指定了正确的realm、kdc和admin_server等参数。 3. 配置SSSD:编辑SSSD配置文件(/etc/sssd/sssd.conf),添加适当的信息和服务器详细信息。您需要指定名称、AD服务器的主机名和控制器的IP地址等参数。 4. 将Linux主机加入:使用realm命令将Linux系统加入AD中。执行以下命令: ``` realm join --user=AD_admin_user domain_name ``` 其中,AD_admin_user是具有加入权限的AD管理员用户名,domain_name是您的名称。 5. 验证加入状态:执行以下命令以验证Linux主机是否成功加入AD: ``` realm list ``` 您应该能够看到有关的详细信息,并且状态应显示为"online"。 6. 配置用户访问控制:根据需要修改SSSD配置文件以定义用户访问权限。您可以配置用户和组的过滤器、角色映射等。 7. 重新启动SSSD服务:执行以下命令以重新启动SSSD服务: ``` systemctl restart sssd ``` 完成上述步骤后,您的Linux系统应已成功加入Active Directory。用户可以使用其AD凭据进行身份验证,并且可以使用AD组进行访问控制。请注意,具体步骤可能会因Linux发行版的不同而有所差异,上述步骤仅提供了一个基本的概述。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

昭哥-HYZ

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值