linux服务器实现AD域认证,Linux下用户启用Windows AD做集中认证

最新推荐文章于 2022-08-19 14:27:02 发布
最新推荐文章于 2022-08-19 14:27:02 发布
阅读量426 收藏
点赞数
文章标签: linux服务器实现AD域认证

Why

为什么要做服务器的集中认证(和统一权限管理)呢?简答之:当服务器数量呈几何级增长之后,为每台机器维护单独的用户系统已经成为了一个几乎不可能完成的任务(试想下为一万台服务器上的每个用户每三个月修改一次密码),虽然现在也可以通过类似于ansible之类的工具也可以比较容易地做到,但我们有更好的解决方案----统一认证,这样,只需要在一个地方维护用户数据即可,这样简洁可靠的方案,肯定比ansible之类的方案更胜一筹呀。

Howto

一句话;用sssd。不过sssd在这两个系统下都能跑,但这里为嘛把CentOS 6.x和7.x的系统分开讲呢?答案简单:由于CentOS 7.x下有realm从而使得配置巨简单而CentOS 6.x下没有realm(也不好编译使用,因为realm其依赖的某个软件包(glib2>=2.36)版本很高,而且那是一个及其重要的核心软件包,CentOS 6.x不好强行升级到这个版本)所以导致两个版本的配置方法不一样。

背景环境

xxx.corp: 是贵司Windows AD上的主域名

AD1.xxx.corp: 是贵司Windows AD上xxx.corp这个域的全局主域控制器

LoginNO: 是贵司AD域xxx.corp中一个组

Daha.Ma: 是贵司AD域xxx.corp中的一个普通用户

SudoNO: 是贵司AD域xxx.corp中一个组

admin.win: 是贵司AD域xxx.corp中的一个具有管理员权限的用户

具体部署

CentOS 6.x

安装软件

yum -y install sssd oddjob oddjob-mkhomedir \

adcli samba-common authconfig;

adcli join xxx.corp -U admin.win; # 这里需要输入admin.win的密码

authconfig --enablesssd --enablesssdauth \

--enablemkhomedir --update;

service messagebus start;

chkconfig messagebus on;

service oddjob start;

chkconfig oddjob on; # addjob用来自动建立用户的家目录

修改配置

krb5.conf

vim /etc/krb5.conf

使得看起来像这样:

[logging]

default = FILE:/var/log/krb5libs.log

kdc = FILE:/var/log/krb5kdc.log

admin_server = FILE:/var/log/kadmind.log

[libdefaults]

default_realm = xxx.corp

dns_lookup_realm = true

dns_lookup_kdc = true

ticket_lifetime = 24h

renew_lifetime = 7d

forwardable = true

[realms]

xxx.corp = {

kdc = AD1.xxx.corp

admin_server = AD1.xxx.corp

}

[domain_realm]

.example.com = xxx.corp

example.com = xxx.corp

sssd.conf

vim /etc/sssd/sssd.conf

修改内容如下:

[sssd]

services = nss, pam, ssh, autofs

config_file_version = 2

domains = xxx.corp

[domain/xxx.corp]

id_provider = ad

fallback_homedir = /home/%u

shell_fallback = /bin/bash

override_shell = /bin/bash

default_shell = /bin/bash

access_provider = simple

simple_allow_groups = LoginNO

simple_allow_users = Daha.Ma

sudoer

visudo

添加这么一句:

%SudoNO@xxx.corp ALL=(ALL) ALL

现在的情况将是:

除了LoginNO组和Daha.Ma以外其他域账号不能登录

SudoNO组可以不用密码通过sudo执行任何命令

重启服务

systemctl restart sssd;

维护命令

id Daha.Ma@xxx.corp; # 从AD中获取域用户信息

id Daha.Ma; # 在/etc/sssh/sssd.conf中设置了use_fully_qualified_names为False的可以直接用

adcli delete-computer --domain=xxx.corp -U admin.win ; # 退出AD域

常见问题

不能加入域

当前面adcli join xxxxxx时如果出错:

adcli: GSSAPI Error: Unspecified GSS failure. Minor code may provide more information (Server not found in Kerberos database)

的话,请尝试修改/etc/krb5.conf,在[libdefaults]这个区块下加一句:

rdns = false

然后重新再试,即可。

CentOS 7.x

安装软件

yum -y install realmd sssd oddjob \

oddjob-mkhomedir adcli samba-common;

realm join ad1.xxx.corp -U admin.win; # 这里需要输入admin.win的密码

realm permit -g LoginNO@xxx.corp; #这里以允许LoginNO组为例

修改配置

sudoer

visudo

添加这么一句:

%SudoNO@xxx.corp ALL=(ALL) ALL

sssd.conf

vim /etc/sssd/sssd.conf

修改两句如下:

use_fully_qualified_names = False

fallback_homedir = /home/%u

重启服务

systemctl restart sssd;

现在的情况是:

除了LoginNO组以外其他域账号不能登录

SudoNO组有不需要密码通过sudo执行所有命令的权限

维护命令

realm permit --withdraw -g LoginNO@xxx.corp; # 取消LoginNO组的登录权限

id Daha.Ma@xxx.corp; # 从AD中获取域用户信息

id Daha.Ma; # 在/etc/sssh/sssd.conf中设置了use_fully_qualified_names为False的可以直接用

realm leave ad1.xxx.corp; # 退出AD域

相关链接

weixin_39760206
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
WindowsLinux混合系统通过AD实现用户集中认证
悦分享
12-02 2165
管理的Linux服务器Windows服务器如果很多,如果都用本地用户名管理,要管理和记住几十台甚至上百台服务器的不同账号不同密码,这是很难的。但是如果所有服务器账号密码都设置一样,那又完全没有安全性可言。什么是服务器集中认证(统一权限管理)?当服务器数量呈几何级增长之后,为每台机器维护单独的用户系统已经成为了一个几乎不可能完成的任务(试想下为一万台服务器上的每个用户每三个月修改一次密码)。
AD的详细介绍,2024年最新小红书Linux运维面试题目
最新发布
2401_83974064的博客
04-17 614
Domain:是计算机网络的一种形式,其中所有用户账户,计算机,打印机和其他安全主体都在位于称为控制器的一个或多个中央计算机集群上的中央数据库中注册。两个之间可以通过建立信任(Trust)关系来进行联系这时候我们发现了一个新名词:林,见名知意:就是好多的组合(太大了一般用不到)下一步,填写名检查是否有冲突林控制级别:其中的控制器服务器版本不能低于选中的级别功能级别:在中的备份DC版本不能低于已选级别下一步下一步,选择是,创建文件目录下一步,创建还原密码下一步。
linux加入windowsAD用户认证
02-06
写本文档的初衷是尽可能全面、简单的向读者介绍linux加入windows AD的过程和方法,使读者能够轻松的搭出系统,同时加深对整个过程的理解程度。
linux集成ad服务器,谁说Linux不能配置成AD控?请你跟着笔者用Ubuntu来配置AD DC...
weixin_39915815的博客
05-03 2600
2019年12月18日,笔者发了一篇微头条,说的是一台Windows Server两天遭到12万次攻击,很多网友就说换成Linux相对来说安全一些,但是也有一些网友表示反对,因为AD只有Windows Server才能配置。其实这是一个误区,Linux也照样能配置AD DC,笔者这么说了之后,有些粉丝就要求笔者出个教程,那今天就来满足这些粉丝。Ubuntu Server现在最新版已经是19.10...
liunx 加入控_Linux服务器如何加入AD
weixin_39673002的博客
12-20 2964
一 摘要在企业中为了对所有服务器的帐号和密码进行统一的管理,可以采用windows活动目录的解决方案;对于windows服务器,直接将服务器加入即可;对于Linux服务器,如果要将Linux服务器加入,还需要其他的软件的协助,本文介绍通过Samba和Winbind的协助将Linux加入活动目录,实现帐号和密码统一管理。二 正文1. 安装配置Samba和Winbind组件1....
linux加入windows之完美方案.doc
02-24
本方案详述了一种适用于CentOS 5.3和Windows Server 2003 SP2环境下的方法,确保Linux能够顺利加入Windows,并实现Samba服务的用户验证。 首先,确保Linux服务器上安装了必要的软件包。对于CentOS 5.3,需要的...
Linux服务器网卡bond
03-01
以下是关于Linux服务器网卡bond的详细知识: 1. **Bonding模式**: - **mode=0 (balance-rr)**:轮询负载均衡,数据包在所有活动接口间按顺序发送,提供负载均衡和冗余。 - **mode=1 (active-backup)**:主备...
Linuxsamba加入AD.pdf
09-30
在IT管理领,尤其是网络和系统管理中,将Linux服务器集成到Windows Active Directory(AD是一项常见的任务,这样可以实现跨平台的统一身份验证和资源管理。在本场景中,管理员希望利用已有的Windows 2003 ...
Samba通过ad进行认证并限制空间大小
09-01
本文将深入探讨如何利用Samba通过Active Directory(AD进行用户认证,并设置用户存储空间的限制。 首先,让我们了解Samba与AD的结合。Samba可以作为AD控制器的成员服务器,这样它就可以识别和验证AD中的...
Linux如何加入AD
09-21
加入AD的过程涉及到Linux服务器Windows控制器的通信,主要目标是使Linux机器能够识别并接受用户的登录凭证。这一过程通常涉及到Samba服务的配置,因为Samba是一个允许LinuxWindows系统之间进行文件共享和...
Windows AD搭建及Linux加入
热门推荐
天道酬勤
11-20 4万+
实验环境:VM windowsServer 2012 GUI   192.168.137.100 centos6.8                               192.168.137.101 1、使用VM创建虚拟机,并设置静态IP    使用NAT方式   1)设置Virtual NetWork Editor                  需要注意将Use lo
publickey,gssapi-with-mic,Unspecified GSS failure
乐沙弥的世界
04-15 7602
最近的MHA配置时碰到了Permission denied (publickey,gssapi-with-mic,password)这个错误提示,同时在使用ssh -v时,出现了Unspecified GSS failure错误。这个主要是使用了GSSAPI 的认证功能导致的。客官,如果你碰到了在使用scp很慢的情况下,也是这个原因。不妨继续往下看。
AD控制器配置
葫芦娃的博客
11-06 2130
AD控制器配置使用步骤 使用步骤 1.1 主机配置 (1)配置虚拟机的IP地址和DNS,DNS为AD的IP地址。我是按照电脑本身所处网段进行配置的。 (2)关闭虚拟机防火墙 1.2 安装与配置控制器 (1)打开服务器配置,点击添加功能 (2)选择AD控制器,下一步 (3)默认下一步,到此处开始安装,等待安装完成 (4)安装完成之后,点击配置向导,开始配置AD控制器 (5)选择在新林中新建,点击下一步 (6)设置名,这里我设置为cct2019.com,可根据情况自行设置 (7)
FTP时报 GSSAPI error major: Unspecified GSS failure,KERBEROS_V4 错误的解决
cps9988的博客
08-06 1624
一.问题描述 无法通过/etc/rc.d/init.d/vsftpd stop 来停止ftp服务,通过windows的客户端仍然可以进行ftp的访问.[root@pdb log]# /etc/rc.d/init.d/vsftpd...
Linux自动化一键配置AD集成 & 部署YUM源
hoyoly的博客
08-19 1386
Linux服务器自动化配置LDAP集成
统计使用hue报错信息与解决方案
毛毛的博客
05-28 2277
1.hue连接impala认证错误 Could not start SASL: Error in sasl_client_start (-1) SASL(-1): generic failure: GSSAPI Error: Unspecified GSS failure. Minor code may provide more information (Ticket expired) 原因:票据无效,使用了Kerberos认证, Kerberos设置默认有效期是24小时,修改了kerberos有效时间为1
Centos8 使用realmd加入AD
Linuxprobe18的博客
04-29 1219
导读 本文展示如何使用 realmd ,sssd将Centos7 / 8 加入到 Active Directory 。 本文还进一步为通过 AD 登录的用户配置 sudo 规则。 设置主机名和DNS 下面命令用来设置正确的主机名和dns服务器地址: [root@Centos8-1 ~]# hostnamectl set-hostname Centos8-1.pangzb.com [root@Centos8-1 ~]# hostnamectl 配置可以和AD控制器通信的DNS.
Ubuntu可以加入windows AD嘛? ubuntu系列
linfeng的博客
04-15 4377
Ubuntu系统加入环境怎么操作? 问:首先我们来了解一下windows是什么? 答:windows是计算机网络的一种形式,其中所有用户帐户 ,计算机,打印机和其他安全主体都在位于称为控制器的一个或多个中央计算机集群上的中央数据库中注册。 身份验证在控制器上进行。 在中使用计算机的每个人都会收到一个唯一的用户帐户,然后可以为该帐户分配对该内资源的访问权限。 那么我们在跑业务的时候经常用的Linux能不能加入到windows控制环境中呢? 接下来我们用实验来回答上述问题。 环境介绍: 本次实验

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值