Postingan tersebut menguraikan langkah-langkah untuk mengintegrasikan server CentOS/RHEL 6 (klien) ke dalam domain AD dengan LDAP/Kerberos/SSSD.
1. Instal paket yang diperlukan:
# yum install sssd samba-common krb5-workstationCatatan :Pastikan NTP berjalan dan berfungsi seperti yang diharapkan dan tambahkan server AD Anda di /etc/hosts
2. Konfigurasikan /etc/krb5.conf menyerupai berikut ini::
# vi /etc/krb5.conf [logging] kdc = SYSLOG:DEBUG default = FILE:/var/log/krb5libs.log kdc = FILE:/var/log/krb5kdc.log admin_server = FILE:/var/log/kadmind.log [libdefaults] default_realm = EXAMPLE.COM dns_lookup_realm = false dns_lookup_kdc = false ticket_lifetime = 24h renew_lifetime = 7d forwardable = true allow_weak_crypto = true [realms] EXAMPLE.COM = { kdc = adserver.example.com admin_server = adserver.example.com } [domain_realm] example.com = EXAMPLE.COM .example.com = EXAMPLE.COM
3. Konfigurasikan /etc/samba/smb.conf menyerupai berikut ini:
# vi /etc/samba/smb.conf [global] workgroup = ADGRP realm = EXAMPLE.COM security = ads kerberos method = secrets and keytab log file = /var/log/samba/log.%m max log size = 50 client signing = yes client use spnego = yes idmap config * : backend = tdb password server = adserver.example.com
4. Buka tiket Kerberos sebagai Administrator AD:
# kinit your-admin-userCatatan :Pastikan untuk menghapus kunci lama jika ada. :"rm /etc/krb5.keytab"
5. Bergabung dengan mesin OL ke Active Directory dan buat Keytab:
# net ads join createupn=host/[email protected] -k # net ads keytab create -k
6. Jalankan perintah berikut untuk mengaktifkan SSSD di dalam /etc/nsswitch.conf dan PAM:
# authconfig --enablesssd --enablesssdauth --enablelocauthorize --enablemkhomedir --update
7. Buat /etc/sssd/sssd.conf dan atur izin yang benar:
# echo > /etc/sssd/sssd.conf # chmod 600 /etc/sssd/sssd.conf
8. Konfigurasi /etc/sssd/sssd.conf agar menyerupai berikut ini:
# vi /etc/sssd/sssd.conf [sssd] config_file_version = 2 debug_level = 9 domains = example.com services = nss, pam cache_credentials = true ad_server = adserver.example.com id_provider = ad access_provider = ad [domain/example.com] id_provider = ad debug_level = 9 access_provider = ad override_homedir = /home/%u default_shell = /bin/bash auth_provider = ad chpass_provider = ad ldap_schema = ad cache_credentials = true use_fuly_qualified_domain_name = true ad_enable_gc = false
9. Mulai ulang layanan SSSD agar perubahan diterapkan.
# service sssd restart
Catatan
Pemetaan id SSSD identik dengan autorid Winbind yang menggunakan algoritme yang sama untuk menghasilkan UID dan GID yang di-cache secara lokal berdasarkan atribut SID Objek LDAP, sehingga semua mesin yang menggunakan SSSD dengan pemetaan id konsisten dalam pengidentifikasi UID dan GID.
Jika lingkungan Active Directory Anda berisi atribut POSIX, bukan hanya nama pengguna dan SID, Anda dapat menggunakan konfigurasi tambahan berikut dalam [domain] bagian
ldap_id_mapping = false
Anda juga dapat mengganti informasi atribut Shell dan Home Directory dengan mengubah fallback_homedir dan default_shell untuk mengganti_homedir dan override_shell . ‘pengunduran ‘ dan ‘default ' pilihan hanya akan digunakan jika informasi ini tidak dikembalikan dari AD. Namun, opsi 'override' akan menimpa apa pun yang ditampilkan AD, terlepas dari itu.
Perhatikan juga, bahwa setiap kali Anda membuat perubahan signifikan seperti ini pada SSSD atau tidak yakin apakah cache SSSD lokal harus dibuat ulang, selalu jalankan perintah berikut setelahnya:
# service sssd stop # rm -rf /var/log/sssd/* # rm -rf /var/lib/sss/db/* # service sssd start