Red Hat Summit1.4.3. Conexión a AD mediante atributos POSIX definidos en Active Directory
Para un mejor rendimiento, publique los atributos POSIX en el catálogo global de AD. Si los atributos POSIX no están presentes en el catálogo global, SSSD se conecta a los controladores de dominio individuales directamente en el puerto LDAP.
Requisitos previos
Asegúrese de que los siguientes puertos del host RHEL están abiertos y son accesibles para los controladores de dominio AD.
Expand Tabla 1.2. Puertos necesarios para la integración directa de sistemas Linux en AD mediante SSSD Servicio Puerto Protocolo Notas DNS
53
UDP y TCP
LDAP
389
UDP y TCP
Kerberos
88
UDP y TCP
Kerberos
464
UDP y TCP
Utilizado por kadmin para establecer y cambiar una contraseña
Catálogo global LDAP
3268
TCP
Si se utiliza la opción
id_provider = adNTP
123
UDP
Opcional
- Asegúrese de que está utilizando el servidor del controlador de dominio AD para el DNS.
- Compruebe que la hora del sistema en ambos sistemas está sincronizada. Esto garantiza que Kerberos pueda funcionar correctamente.
Procedimiento
Instale los siguientes paquetes:
# yum install realmd oddjob oddjob-mkhomedir sssd adcli krb5-workstationConfigure el sistema RHEL local con el mapeo de ID deshabilitado utilizando el comando
realm joincon la opción--automatic-id-mapping=no. El conjuntorealmdedita automáticamente todos los archivos de configuración necesarios. Por ejemplo, para un dominio llamadoad.example.com:# realm join --automatic-id-mapping=no ad.example.comSi ya se ha unido a un dominio, puede desactivar manualmente la asignación de ID en SSSD:
-
Abra el archivo
/etc/sssd/sssd.conf. -
En la sección del dominio AD, añada la configuración
ldap_id_mapping = false. Eliminar las cachés de SSSD:
rm -f /var/lib/sss/db/*Reinicie el SSSD:
systemctl restart sssd
-
Abra el archivo
SSSD ahora utiliza los atributos POSIX de AD, en lugar de crearlos localmente.
Debe tener los atributos POSIX pertinentes (uidNumber, gidNumber, unixHomeDirectory, y loginShell) configurados para los usuarios en AD.
Pasos de verificación
Muestra los detalles de un usuario de AD, como el usuario administrador:
# getent passwd administrator@ad.example.com administrator@ad.example.com:*:10000:10000:Administrator:/home/Administrator:/bin/bash
Recursos adicionales
-
Para más detalles sobre la asignación de ID y el parámetro
ldap_id_mapping, consulte la página de manualsssd-ldap(8).
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}