Rechercher

27.3. Connexion directe d'un système RHEL à AD à l'aide du rôle de système ad_integration

download PDF

Vous pouvez utiliser le rôle de système ad_integration pour configurer une intégration directe entre un système RHEL et un domaine AD en exécutant un playbook Ansible.

Note

À partir de RHEL8, RHEL ne prend plus en charge le chiffrement RC4 par défaut. S'il n'est pas possible d'activer AES dans le domaine AD, vous devez activer la stratégie cryptographique AD-SUPPORT et autoriser le chiffrement RC4 dans le manuel de jeu.

Important

L'heure entre le serveur RHEL et AD doit être synchronisée. Vous pouvez vous en assurer en utilisant le rôle de système timesync dans le playbook.

Dans cet exemple, le système RHEL rejoint le domaine AD domain.example.com, en utilisant l'utilisateur AD Administrator et le mot de passe de cet utilisateur stocké dans le coffre-fort Ansible. Le playbook définit également la stratégie cryptographique AD-SUPPORT et autorise le chiffrement RC4. Pour assurer la synchronisation temporelle entre le système RHEL et AD, le livre de jeu définit le serveur adserver.domain.example.com comme source timesync.

Conditions préalables

  • Accès et autorisations à une ou plusieurs managed nodes.
  • Accès et autorisations à control node.

    Sur le nœud de contrôle :

    • Les paquets ansible-core et rhel-system-roles sont installés.
    • Un fichier d'inventaire qui répertorie les nœuds gérés.
  • Les ports suivants des contrôleurs de domaine AD sont ouverts et accessibles depuis le serveur RHEL :

    Tableau 27.1. Ports requis pour l'intégration directe de systèmes Linux dans AD à l'aide du rôle de système ad_integration
    Port sourcePort de destinationProtocolService

    1024:65535

    53

    UDP et TCP

    DNS

    1024:65535

    389

    UDP et TCP

    LDAP

    1024:65535

    636

    TCP

    LDAPS

    1024:65535

    88

    UDP et TCP

    Kerberos

    1024:65535

    464

    UDP et TCP

    Changement/réinitialisation du mot de passe Kerberos (kadmin)

    1024:65535

    3268

    TCP

    Catalogue global LDAP

    1024:65535

    3269

    TCP

    Catalogue global LDAP SSL/TLS

    1024:65535

    123

    UDP

    NTP/Chronie (optionnel)

    1024:65535

    323

    UDP

    NTP/Chronie (optionnel)

Procédure

  1. Créez un nouveau fichier ad_integration.yml avec le contenu suivant :

    ---
    - hosts: all
      vars:
        ad_integration_realm: "domain.example.com"
        ad_integration_password: !vault | vault encrypted password
        ad_integration_manage_crypto_policies: true
        ad_integration_allow_rc4_crypto: true
        ad_integration_timesync_source: "adserver.domain.example.com"
      roles:
        - linux-system-roles.ad_integration
    ---
  2. Facultatif : Vérifier la syntaxe du playbook.

    # ansible-playbook --syntax-check ad_integration.yml -i inventory_file
  3. Exécutez le playbook sur votre fichier d'inventaire :

    # ansible-playbook -i inventory_file /path/to/file/ad_integration.yml

Vérification

  • Afficher les détails d'un utilisateur AD, tel que l'utilisateur administrator:

    getent passwd administrator@ad.example.com
    administrator@ad.example.com:*:1450400500:1450400513:Administrator:/home/administrator@ad.example.com:/bin/bash
Red Hat logoGithubRedditYoutubeTwitter

Apprendre

Essayez, achetez et vendez

Communautés

À propos de la documentation Red Hat

Nous aidons les utilisateurs de Red Hat à innover et à atteindre leurs objectifs grâce à nos produits et services avec un contenu auquel ils peuvent faire confiance.

Rendre l’open source plus inclusif

Red Hat s'engage à remplacer le langage problématique dans notre code, notre documentation et nos propriétés Web. Pour plus de détails, consultez leBlog Red Hat.

À propos de Red Hat

Nous proposons des solutions renforcées qui facilitent le travail des entreprises sur plusieurs plates-formes et environnements, du centre de données central à la périphérie du réseau.

© 2024 Red Hat, Inc.