1.4.4. Conexión a múltiples dominios en diferentes bosques de AD con SSSD

Este procedimiento describe la unión y autenticación en varios dominios de Active Directory (AD) en diferentes bosques donde no hay confianza entre ellos.

Este ejemplo describe la unión de dos dominios, addomain1.com y addomain2.com. Utilice realmd para unirse al primer dominio y configurar automáticamente SSSD, Kerberos y otras utilidades para ese dominio. Utilice adcli para unirse a dominios adicionales y edite manualmente los archivos de configuración para incluir esos dominios.

Requisitos previos

Asegúrese de que los siguientes puertos del host RHEL están abiertos y son accesibles para los controladores de dominio AD.

Expand

Tabla 1.3. Puertos necesarios para la integración directa de sistemas Linux en AD mediante SSSD
Servicio	Puerto	Protocolo	Notas
DNS	53	UDP y TCP
LDAP	389	UDP y TCP
Kerberos	88	UDP y TCP
Kerberos	464	UDP y TCP	Utilizado por kadmin para establecer y cambiar una contraseña
Catálogo global LDAP	3268	TCP	Si se utiliza la opción `id_provider = ad`
NTP	123	UDP	Opcional

Asegúrese de que está utilizando el servidor del controlador de dominio AD para el DNS.
Compruebe que la hora del sistema en ambos sistemas está sincronizada. Esto garantiza que Kerberos pueda funcionar correctamente.
Asegúrese de que dispone de credenciales para una cuenta de administrador de AD en cada dominio de AD que tenga derechos para unir máquinas a ese dominio

Procedimiento

Instale los paquetes necesarios.

# yum install sssd realmd adcli samba-common-tools oddjob oddjob-mkhomedir

Utilice realmd para unirse al primer dominio AD, addomain1.com.
```
# realm join ADDOMAIN1.COM
```
Renombrar el keytab del sistema con un nombre único.
```
# mv /etc/krb5.keytab /etc/dominio1.com.krb5.keytab
```
Utilice adcli para unirse al segundo dominio de AD y a cualquier otro dominio adicional. Utilice la opción -K para especificar una ruta única para el llavero de Kerberos donde se escribirán las credenciales del host.
```
# adcli join -D dc2.addomain2.com -K /etc/addomain2.com.krb5.keytab
```

Modificar /etc/krb5.conf.

Añade la opción includedir para incluir los archivos de configuración de SSSD.

Habilite las búsquedas de DNS para los controladores de dominio de AD con la opción dns_lookup_kdc.

includedir /var/lib/sss/pubconf/krb5.include.d/

[logging]
 default = FILE:/var/log/krb5libs.log
 kdc = FILE:/var/log/krb5kdc.log
 admin_server = FILE:/var/log/kadmind.log

[libdefaults]
 default_realm = ADDOMAIN1.COM
 dns_lookup_realm = false
 dns_lookup_kdc = true
 ticket_lifetime = 24h
 renew_lifetime = 7d
 forwardable = true

...

Modifique /etc/sssd/sssd.conf para incluir información sobre todos los dominios de AD en uso.

[sssd]
services = nss, pam
config_file_version = 2
domains = addomain1.com, addomain2.com

[domain/addomain1.com]
id_provider = ad
access_provider = ad
krb5_keytab = /etc/addomain1.com.krb5.keytab
ldap_krb5_keytab = /etc/addomain1.com.krb5.keytab
ad_server = dc1.addomain1.com
ad_maximum_machine_account_password_age = 0
use_fully_qualified_names = true
default_shell=/bin/bash
override_homedir=/home/%d/%u

[domain/addomain2.com]
id_provider = ad
access_provider = ad
krb5_keytab = /etc/addomain2.com.krb5.keytab
ldap_krb5_keytab = /etc/addomain2.com.krb5.keytab
ad_server = dc2.addomain2.com
ad_maximum_machine_account_password_age = 0
use_fully_qualified_names = true
default_shell=/bin/bash
override_homedir=/home/%d/%u

[nss]

[pam]

Para cada sección de dominio, especifique la ruta al keytab de Kerberos que corresponde a cada dominio con las opciones krb5_keytab y ldap_krb5_keytab.
Configure ad_maximum_machine_account_password_age = 0 para desactivar la renovación de las claves Kerberos del host.
Establezca use_fully_qualified_names = true para diferenciar a los usuarios de diferentes dominios.
Configure override_homedir = /home/%d/%u para que los usuarios (%u) de diferentes dominios (%d) each receive unique home directories. For example, the home directory for user linuxuser@addomain1.com is /home/addomain1.com/linuxuser.

SSH recupera las claves de host del keytab del sistema y proporciona la funcionalidad de single sign-on a través de GSSAPI/Kerberos. Si desea utilizar el inicio de sesión único, copie todas las claves de host Kerberos actuales en el llavero del sistema /etc/kbr5.keytab.
```
# ktutil
ktutil:  rkt /etc/addomain1.com.krb5.keytab
ktutil:  rkt /etc/addomain2.com.krb5.keytab
ktutil:  wkt /etc/krb5.keytab
```

Reinicie y habilite el servicio SSSD.

# systemctl restart sssd
# systemctl enable sssd

Pasos de verificación

Muestra los detalles de los usuarios de cada dominio de AD:

# id administrator@addomain1.com
uid=1240800500(administrator@addomain1.com) gid=1240800513(domain users@addomain1.com) groups=1240800513(domain users@addomain1.com),1240800512(domain admins@addomain1.com),1240800518(schema admins@addomain1.com),1240800520(group policy creator owners@addomain1.com),1240800572(denied rodc password replication group@addomain1.com),1240800519(enterprise admins@addomain1.com)

# id administrator@addomain2.com
uid=1013800500(administrator@addomain2.com) gid=1013800500(administrator@addomain2.com) groups=1013800500(administrator@addomain2.com),1013800513(domain users@addomain2.com)

Inicie sesión como un usuario de cada dominio y verifique que se ha creado el directorio raíz correcto para el usuario.

# ssh administrator@addomain1.com@localhost
administrator@addomain1.com@localhost's password:
Creating directory '/home/addomain1.com/administrator'.

$ pwd
/home/addomain1.com/administrator

# ssh administrator@addomain2.com@localhost
administrator@addomain2.com@localhost's password:
Creating directory '/home/addomain2.com/administrator'.

$ pwd
/home/addomain2.com/administrator

1.4.4. Conexión a múltiples dominios en diferentes bosques de AD con SSSD

Aprender

Pruebe, compre y venda

Comunidades

Acerca de la documentación de Red Hat

Hacer que el código abierto sea más inclusivo

Acerca de Red Hat

Theme

Red Hat legal and privacy links

Red Hat legal and privacy links