Chapitre 1. Connexion directe des systèmes RHEL à AD à l'aide de SSSD
Deux composants sont nécessaires pour connecter un système RHEL à Active Directory (AD). L'un des composants, SSSD, interagit avec la source centrale d'identité et d'authentification, et l'autre, realmd
, détecte les domaines disponibles et configure les services système RHEL sous-jacents, en l'occurrence SSSD, pour qu'ils se connectent au domaine.
Cette section décrit l'utilisation du System Security Services Daemon (SSSD) pour connecter un système RHEL à Active Directory (AD).
- Aperçu de l'intégration directe à l'aide de SSSD
- Plateformes Windows prises en charge pour une intégration directe
- Assurer la prise en charge des types de chiffrement courants dans AD et RHEL
- Connexion directe à AD
- Comment le fournisseur AD gère les mises à jour dynamiques du DNS
- Modification des paramètres DNS dynamiques pour le fournisseur AD
- Comment le fournisseur AD gère les domaines de confiance
- Remplacer l'autodécouverte des sites Active Directory par SSSD
- commandes de domaine
1.1. Aperçu de l'intégration directe à l'aide de SSSD
SSSD permet d'accéder à un annuaire d'utilisateurs pour l'authentification et l'autorisation par le biais d'une structure commune avec mise en cache des utilisateurs pour permettre les connexions hors ligne. SSSD est hautement configurable ; il fournit des modules d'authentification enfichables (PAM) et l'intégration du service de commutation de noms (NSS), ainsi qu'une base de données pour stocker les utilisateurs locaux ainsi que des données d'utilisateur étendues récupérées à partir d'un serveur central. SSSD est le composant recommandé pour connecter un système RHEL à l'un des types de serveurs d'identité suivants :
- Active Directory
- Gestion des identités (IdM) dans RHEL
- Tout serveur LDAP ou Kerberos générique
L'intégration directe avec SSSD ne fonctionne par défaut qu'au sein d'une seule forêt AD.
La manière la plus pratique de configurer SSSD pour intégrer directement un système Linux à AD est d'utiliser le service realmd
. Il permet aux appelants de configurer l'authentification du réseau et l'appartenance à un domaine de manière standard. Le service realmd
découvre automatiquement les informations sur les domaines et les zones accessibles et ne nécessite pas de configuration avancée pour rejoindre un domaine ou une zone.
Vous pouvez utiliser SSSD pour l'intégration directe et indirecte avec AD et il vous permet de passer d'une approche d'intégration à l'autre. L'intégration directe est un moyen simple d'introduire les systèmes RHEL dans un environnement AD. Toutefois, à mesure que le nombre de systèmes RHEL augmente, vos déploiements nécessitent généralement une meilleure gestion centralisée des stratégies liées à l'identité, telles que le contrôle d'accès basé sur l'hôte, sudo ou les mappages d'utilisateurs SELinux. Au départ, vous pouvez maintenir la configuration de ces aspects des systèmes RHEL dans des fichiers de configuration locaux. Cependant, avec un nombre croissant de systèmes, la distribution et la gestion des fichiers de configuration sont plus faciles avec un système de provisionnement tel que Red Hat Satellite. Lorsque l'intégration directe n'est plus adaptée, vous devez envisager l'intégration indirecte. Pour plus d'informations sur le passage de l'intégration directe (les clients RHEL sont dans le domaine AD) à l'intégration indirecte (IdM avec confiance en AD), voir Déplacement des clients RHEL du domaine AD vers le serveur IdM.
Pour plus d'informations sur le type d'intégration qui convient à votre cas d'utilisation, voir Décider entre l'intégration indirecte et l'intégration directe.
Ressources supplémentaires
-
La page de manuel
realm(8)
. -
La page de manuel
sssd-ad(5)
. -
La page de manuel
sssd(8)
.