27.3. Connexion directe d'un système RHEL à AD à l'aide du rôle de système ad_integration
Vous pouvez utiliser le rôle de système ad_integration
pour configurer une intégration directe entre un système RHEL et un domaine AD en exécutant un playbook Ansible.
À partir de RHEL8, RHEL ne prend plus en charge le chiffrement RC4 par défaut. S'il n'est pas possible d'activer AES dans le domaine AD, vous devez activer la stratégie cryptographique AD-SUPPORT
et autoriser le chiffrement RC4 dans le manuel de jeu.
L'heure entre le serveur RHEL et AD doit être synchronisée. Vous pouvez vous en assurer en utilisant le rôle de système timesync
dans le playbook.
Dans cet exemple, le système RHEL rejoint le domaine AD domain.example.com
, en utilisant l'utilisateur AD Administrator
et le mot de passe de cet utilisateur stocké dans le coffre-fort Ansible. Le playbook définit également la stratégie cryptographique AD-SUPPORT
et autorise le chiffrement RC4. Pour assurer la synchronisation temporelle entre le système RHEL et AD, le livre de jeu définit le serveur adserver.domain.example.com
comme source timesync
.
Conditions préalables
- Accès et autorisations à une ou plusieurs managed nodes.
Accès et autorisations à control node.
Sur le nœud de contrôle :
-
Les paquets
ansible-core
etrhel-system-roles
sont installés. - Un fichier d'inventaire qui répertorie les nœuds gérés.
-
Les paquets
Les ports suivants des contrôleurs de domaine AD sont ouverts et accessibles depuis le serveur RHEL :
Tableau 27.1. Ports requis pour l'intégration directe de systèmes Linux dans AD à l'aide du rôle de système ad_integration Port source Port de destination Protocol Service 1024:65535
53
UDP et TCP
DNS
1024:65535
389
UDP et TCP
LDAP
1024:65535
636
TCP
LDAPS
1024:65535
88
UDP et TCP
Kerberos
1024:65535
464
UDP et TCP
Changement/réinitialisation du mot de passe Kerberos (
kadmin
)1024:65535
3268
TCP
Catalogue global LDAP
1024:65535
3269
TCP
Catalogue global LDAP SSL/TLS
1024:65535
123
UDP
NTP/Chronie (optionnel)
1024:65535
323
UDP
NTP/Chronie (optionnel)
Procédure
Créez un nouveau fichier
ad_integration.yml
avec le contenu suivant :--- - hosts: all vars: ad_integration_realm: "domain.example.com" ad_integration_password: !vault | vault encrypted password ad_integration_manage_crypto_policies: true ad_integration_allow_rc4_crypto: true ad_integration_timesync_source: "adserver.domain.example.com" roles: - linux-system-roles.ad_integration ---
Facultatif : Vérifier la syntaxe du playbook.
# ansible-playbook --syntax-check ad_integration.yml -i inventory_file
Exécutez le playbook sur votre fichier d'inventaire :
# ansible-playbook -i inventory_file /path/to/file/ad_integration.yml
Vérification
Afficher les détails d'un utilisateur AD, tel que l'utilisateur
administrator
:getent passwd administrator@ad.example.com administrator@ad.example.com:*:1450400500:1450400513:Administrator:/home/administrator@ad.example.com:/bin/bash