通过AD域验证登录Linux系统(Linux安装sssd加入Windows AD域)

最新推荐文章于 2024-07-22 13:17:07 发布
最新推荐文章于 2024-07-22 13:17:07 发布
阅读量5.5k 收藏 16
点赞数
分类专栏: Linux 日常桌维记录 文章标签: linux 服务器 运维 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u010091664/article/details/126793857
版权

背景

有一台Centos 7 的Linux服务器,需要每个IT管理员都可以登录并进行维护,为了方便账户管理,统一认证,要求Linux服务器登录实现Windows AD域验证。

环境说明

AD域:Windows server 2019
AD域主机IP : 192.168.100.100
域名:hyz.com
管理员组: ITadmin (组内含:管理员-张三、管理员-李四、管理员-昭哥)
单独的审计用户: audit
在这里插入图片描述

实现过程

  1. 首先将AD域服务器的IP与主机对应关系写入Centos 的hosts文件中;
vim /etc/hosts
192.168.100.100  dc1.hyz.com    #这是我的AD域服务器IP与主机信息;

在这里插入图片描述

  1. Centos 7 安装sssd ;
yum -y install realmd sssd oddjob \
oddjob-mkhomedir adcli samba-common
realm join dc1.hyz.com -U administrator      #使用域管理员权限加域
Password for administrator: *******          #此处输入域管理员的密码
  1. 配置sssd.conf,对ITadmin组和单独的用户账户audit进行登录授权;
vim /etc/sssd/sssd.conf
ad_server = dc1.hyz.com
ad_domain = hyz.com
krb5_realm = HYZ.COM
realmd_tags = manages-system joined-with-adcli
cache_credentials = True
id_provider = ad
krb5_store_password_if_offline = True
default_shell = /bin/bash
ldap_id_mapping = True
use_fully_qualified_names = False          #改为  False
fallback_homedir = /home/%u                #改为  /home/%u
access_provider = simple
simple_allow_groups = ITadmin       #允许ITadmin组内成员登录此linux
simple_allow_users = audit          #允许单独的审计用户audit登录此linux
  1. 配置sudoers文件,对用户进行系统权限授权;
visudo

在配置文件中添加如下语句

%ITadmin  ALL=(ALL)      ALL

关闭防火墙,并重启 sssd 服务;

systemctl stop firewalld.service
systemctl restart sssd
  1. 验证
    使用域用户登录Centos 系统;
    在这里插入图片描述在这里插入图片描述
    在这里插入图片描述

命令扩展

realm permit --withdraw -g ITadmin; # 取消LoginNO组的登录权限

id zhaoge; # 从AD中获取域用户信息

id zhaoge; # 在/etc/sssh/sssd.conf中设置了use_fully_qualified_names为False的可以直接用

realm leave dc1.hyz.com; # 退出AD域

end!

昭哥-HYZ
关注
专栏目录
ubuntu加入WindowsAD(使用SSSD和Realm的方式)
马哥私房菜
05-14 1万+
ubuntu加入WindowsAD(使用SSSD和Realm的方式)
linux服务器实现AD认证,Linux下用户启用Windows AD做集中认证
weixin_36140403的博客
04-30 1998
Why为什么要做服务器的集中认证(和统一权限管理)呢?简答之:当服务器数量呈几何级增长之后,为每台机器维护单独的用户系统已经成为了一个几乎不可能完成的任务(试想下为一万台服务器上的每个用户每三个月修改一次密码),虽然现在也可以通过类似于ansible之类的工具也可以比较容易地做到,但我们有更好的解决方案----统一认证,这样,只需要在一个地方维护用户数据即可,这样简洁可靠的方案,肯定比ansibl...
自动以当前用户身份登录
最新发布
dgiij的博客
07-22 515
在nginx做反向代理发布的场景下,还需要在nginx.conf里配置下keepalive参数,确保ntlm认证期间,连接保持,而不被重置。当时其实没有必要,而且ntlm认证总还有时间和资源开销的,建议仅认证时使用这个中间件,其他时候访问直接访问session检查用户了。既然电脑加了,用户又以用户身份登录使用电脑,那么在访问内部网站时是不是可以不用输入账号密码,自动以当前用户身份登录呢?当然是可以的,不过“自动”二字需要在电脑上做以下配置,当然也可以做成AD的组策略对指定用户群体应用
linux通过ad验证登录
weixin_33806914的博客
11-28 581
http://blogs.msdn.com/b/sfu/archive/2009/07/13/using-unix-attributes-tab-without-installing-idmu.aspx 转载于:https://blog.51cto.com/lzspf/1072878
linux服务器实现AD认证,linux 使用pam_ldap通过ad认证
weixin_39911567的博客
04-30 156
配置linux通过ad认证的方法有很多,如samba使用的winbind方式。这里我使用的是pam_ldap方式,网上有很多这样相关的文章,都是按官网上一步步做,先配nsswitch.conf,再配ldap.conf。配置nsswitch.conf的作用是告诉系统去哪里获取到用户的pw信息(如getpwnam,getpwuid等函数调用时用),有时候,我们通常希望将帐号配置在系统的/etc/pas...
linux sssd加入AD Key table file ‘/etc/krb5.keytab‘ not found
qq331565760的专栏
03-24 1212
linux sssd realm 加入AD
linux加入windowsAD做用户认证
02-06
写本文档的初衷是尽可能全面、简单的向读者介绍linux加入windows AD的过程和方法,使读者能够轻松的搭出系统,同时加深对整个过程的理解程度。
Linux windows ssd,Linux下用户启用Windows AD做集中认证
weixin_39945523的博客
05-07 201
Why为什么要做服务器的集中认证(和统一权限管理)呢?简答之:当服务器数量呈几何级增长之后,为每台机器维护单独的用户系统已经成为了一个几乎不可能完成的任务(试想下为一万台服务器上的每个用户每三个月修改一次密码),虽然现在也可以通过类似于ansible之类的工具也可以比较容易地做到,但我们有更好的解决方案----统一认证,这样,只需要在一个地方维护用户数据即可,这样简洁可靠的方案,肯定比ansibl...
liunx 加入控_Linux服务器如何加入AD
weixin_39673002的博客
12-20 3020
一 摘要在企业中为了对所有服务器的帐号和密码进行统一的管理,可以采用windows活动目录的解决方案;对于windows服务器,直接将服务器加入即可;对于Linux服务器,如果要将Linux服务器加入,还需要其他的软件的协助,本文介绍通过Samba和Winbind的协助将Linux加入活动目录,实现帐号和密码统一管理。二 正文1. 安装配置Samba和Winbind组件1....
linux加入ad
09-13
5. 验证加入状态:执行以下命令以验证Linux主机是否成功加入AD: ``` realm list ``` 您应该能够看到有关的详细信息,并且状态应显示为"online"。 6. 配置用户访问控制:根据需要修改SSSD配置文件以定义...
Linux-Active-Directory-join-script:活动目录Join脚本,适用于Ubuntu,Debian,CentOS,Linux Mint,Fedora,Kali,Elementary OS和Raspbian,并为Ubuntu内置了故障检查和调试模式。 “用于Linux的GITHUB上最先进和最新的AD连接​​脚本”
02-06
3. `realm`工具:这是一个命令行工具,用于配置和管理Kerberos和LDAP身份验证,它简化了将Linux系统加入AD的过程。 4. `activedirectory`标签可能指的是与AD相关的特定配置或软件包,用于支持AD集成。 5. 对于...
rhel6使用AD用户登录设置
11-22
RHEL6使用AD用户登录设置涉及多个核心组件和协议,包括LDAP、Kerberos、...通过这些技术的结合,RHEL6系统能够为用户提供一个安全、便捷的登录环境,使得用户在使用Linux系统时能够体验到与Windows系统相似的便捷性。
ldap-chrootjail:一个bash脚本,为可以通过SSH访问Linux系统的Microsoft AD用户创建chroot监狱
04-04
**ldap-chrootjail** 是一个bash脚本,它的主要目标是为那些通过SSH(Secure Shell)连接到Linux系统的Microsoft Active Directory(AD)用户创建安全的chroot监狱环境。这个脚本的目的是增强系统安全性,限制经过...
WindowsLinux混合系统通过AD实现用户集中认证
悦分享
12-02 2254
管理的Linux服务器Windows服务器如果很多,如果都用本地用户名管理,要管理和记住几十台甚至上百台服务器的不同账号不同密码,这是很难的。但是如果所有服务器账号密码都设置一样,那又完全没有安全性可言。什么是服务器的集中认证(统一权限管理)?当服务器数量呈几何级增长之后,为每台机器维护单独的用户系统已经成为了一个几乎不可能完成的任务(试想下为一万台服务器上的每个用户每三个月修改一次密码)。
ad账户与linux集成,Ubuntu 通过ldap集成AD账号登录(nslcd方式)
weixin_39788960的博客
05-14 225
Ubuntu 通过ldap集成AD账号登录注:该方式不依赖于AD的server for nis,单纯AD服务即可安装libnss-ldapd(会自动安装nscd、nslcd)、libpam-ldapd# apt-get install libnss-ldapd libpam-ldapd (中间配ldap部分可直接回车或随便写,后面调nslcd.conf文件即可)# vi /etc/nsswitc...
redhat 4 结合 AD认证,并以AD用户登录linux
weixin_33940102的博客
10-21 596
Redhat 版本Red Hat Enterprise Linux AS release 4(Nahant Update 8) 192.168.200.110DcWindows2003 机器名domain.xmzq.com.cn 192.168.200.100dc和dns 是同一台机器step1、 安装一台redhat虚拟姐,版本为rl4 默认安装了所有软件包,这样在做...
linux系统加入AD
weixin_33814685的博客
03-10 1683
Linux系统加入AD1、需要的软件包[root@filesrv CentOS]# rpm -qa|grep krb5krb5-auth-dialog-0.7-1krb5-libs-1.6.1-25.el5krb5-devel-1.6.1-25.el5pam_krb5-2.2.14-1krb5-workstation-1.6.1-25.el5[root@filesrv C...
linux登陆_Ubuntu 13.04 登录Windows
weixin_42398171的博客
01-14 537
在Ubuntu 13.04 登录Windows。首先安装Likewiseapt-get install likewise-open5之后登录用命令行测试domainjoin-cli chn.company.com account_name注意:1. chn.company.com是名,全小写2. account_name是自己的帐号,我的是来自于一台windows系统已经测试过的帐号,我是双系...
linux ad账户认证失败,Linux+AD使用证书进行集中认证问题
weixin_42189611的博客
05-14 224
Linux+AD使用证书进行集中认证问题(2011-12-20 03:47:41)标签:杂谈Linux+AD使用证书进行集中认证问题我在做一个集中认证的测试,环境如下:1.在Win2003server企业版上配置了AD ,用作帐号的存储,并按照了service forunix用于配置linux帐号信息;2.RHEL5.3上配置了使用LDAP认证,并指定认证服务器AD在这种环境下可以正常通过AD进...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

昭哥-HYZ

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值