Apa itu ranah
Realmd menyediakan cara sederhana untuk menemukan dan bergabung dengan domain identitas. Ini mengkonfigurasi layanan sistem Linux seperti sssd atau winbind untuk melakukan otentikasi jaringan yang sebenarnya dan pencarian akun pengguna. Dengan dirilisnya CentOS/RHEL 7, realmd didukung penuh dan dapat digunakan untuk bergabung dengan ranah IdM, AD, atau Kerberos. Keuntungan utama menggunakan realmd adalah kemampuan untuk memberikan perintah satu baris sederhana untuk mendaftar ke domain serta mengonfigurasi otentikasi jaringan. Misalnya, realmad dapat dengan mudah mengonfigurasi:
- Tumpukan PAM
- Lapisan NSS
- Kerberos
- SSSD
- Windbind
Konfigurasikan CentOS/RHEL 7 sebagai klien Active Directory menggunakan realmad
Ikuti langkah-langkah yang diuraikan di bawah ini untuk mengonfigurasi klien Linux menggunakan Realmd untuk terhubung ke domain Active Directory (AD).
1. Instal paket yang diperlukan untuk mengkonfigurasi klien AD.
# yum install realmd oddjob oddjob-mkhomedir sssd adcli openldap-clients policycoreutils-python samba-common samba-common-tools krb5-workstation
Kita dapat menggunakan subperintah daftar untuk memastikan bahwa saat ini kita bukan bagian dari domain:
# realm list
Outputnya harus kosong. Sekarang, kita siap untuk melanjutkan ke langkah berikutnya- menemukan dan bergabung dengan domain.
2. Temukan direktori aktif doamin dan gabung dengan perintah di bawah ini.
# realm discover ad.example.com ad.example.com type: kerberos realm-name: AD.EXAMPLE.COM domain-name: ad.example.com configured: no server-software: active-directory client-software: sssd required-package: oddjob required-package: oddjob-mkhomedir required-package: sssd required-package: adcli required-package: samba-common-tools
# realm join ad.example.com Password for Administrator: realm: Joined ad.example.com domain
3. Verifikasi file konfigurasi kerberose /etc/krb5.conf untuk menyertakan:
# cat /etc/krb5.conf
# Configuration snippets may be placed in this directory as well
includedir /etc/krb5.conf.d/
[logging]
default = FILE:/var/log/krb5libs.log
kdc = FILE:/var/log/krb5kdc.log
admin_server = FILE:/var/log/kadmind.log
[libdefaults]
default = DOMAIN.EXAMPLE.COM
dns_lookup_realm = true
dns_lookup_kdc=true
ticket_lifetime = 24h
renew_lifetime = 7d
forwardable = true
rdns = false
default_ccache_name = KEYRING:persistent:%{uid}
default_realm = DOMAIN.EXAMPLE.COM
default_ccache_name = KEYRING:persistent:%{uid}
[realms]
AD.EXAMPLE.COM = {
kdc = [hostname_of_server].domain.example.com:88
admin_server = domain.example.com
}
[domain_realm]
.domain.example.com = DOMAIN.EXAMPLE.COM
domain.example.com = DOMAIN.EXAMPLE.COM 4. Pastikan /etc/sssd/sssd.conf memiliki entri di bawah ini.
# cat /etc/sssd/sssd.conf [sssd] domains = domain.example.com config_file_version = 2 services = nss, pam [domain/domain.example.com] ad_server = domain.example.com ad_domain = domain.example.com krb5_realm = DOMAIN.EXAMPLE.COM realmd_tags = manages-system joined-with-adcli cache_credentials = True id_provider = ad krb5_store_password_if_offline = True default_shell = /bin/bash ldap_id_mapping = True use_fully_qualified_names = True fallback_homedir = /home/%u@%d access_provider = ad enumeration = True
5. Tetapkan izin yang sesuai untuk sssd.conf.
# chown root:root /etc/sssd/sssd.conf # chmod 0600 /etc/sssd/sssd.conf # restorecon /etc/sssd/sssd.conf # authconfig --enablesssd --enablesssdauth --enablemkhomedir --update # systemctl start sssd
Verifikasi
Verifikasi koneksi dengan perintah berikut:
# id [email protected] # ssh [email protected]
Contoh perintah ini ditunjukkan di bawah ini.
# id [email protected] uid=1348601103([email protected]) gid=1348600513(domain [email protected]) groups=1348600513(domain [email protected])
# ssh [email protected]@127.0.0.1 [email protected]@127.0.0.1's password: Creating home directory for [email protected]. $ pwd /home/ad.example.com/user