4.2. Configuration d'un compte de service géré pour un hôte RHEL
Cette procédure crée un compte de service géré (MSA) pour un hôte du domaine Active Directory (AD) lab.example.com
et configure SSSD pour que vous puissiez accéder au domaine AD production.example.com
et vous y authentifier.
Si vous devez accéder aux ressources AD à partir d'un hôte RHEL, Red Hat vous recommande de joindre l'hôte RHEL au domaine AD à l'aide de la commande realm
. Reportez-vous à Connexion directe des systèmes RHEL à AD à l'aide de SSSD.
N'effectuez cette procédure que si l'une des conditions suivantes s'applique :
- Vous ne pouvez pas joindre l'hôte RHEL au domaine AD et vous souhaitez créer un compte pour cet hôte dans AD.
- Vous avez joint l'hôte RHEL à un domaine AD et vous devez accéder à un autre domaine AD dans lequel les informations d'identification de l'hôte du domaine que vous avez joint ne sont pas valides, comme dans le cas d'une confiance à sens unique.
Conditions préalables
Assurez-vous que les ports suivants de l'hôte RHEL sont ouverts et accessibles aux contrôleurs de domaine AD.
Service Port Protocoles DNS
53
TCP, UDP
LDAP
389
TCP, UDP
LDAPS (facultatif)
636
TCP, UDP
Kerberos
88
TCP, UDP
-
Vous avez le mot de passe d'un administrateur AD qui a le droit de créer des MSA dans le domaine
production.example.com
. -
Vous disposez des droits d'administrateur requis pour exécuter la commande
adcli
et pour modifier le fichier de configuration/etc/sssd/sssd.conf
. -
(Optional) Vous avez installé le paquetage
krb5-workstation
, qui comprend l'utilitaire de diagnosticklist
.
Procédure
Créer un MSA pour l'hôte dans le domaine AD
production.example.com
.[root@client ~]# adcli create-msa --domain=production.example.com
Affichez les informations sur la MSA à partir du fichier clé Kerberos qui a été créé. Notez le nom de la MSA :
[root@client ~]# klist -k /etc/krb5.keytab.production.example.com Keytab name: FILE:/etc/krb5.keytab.production.example.com KVNO Principal ---- ------------------------------------------------------------ 2 CLIENT!S3A$@PRODUCTION.EXAMPLE.COM (aes256-cts-hmac-sha1-96) 2 CLIENT!S3A$@PRODUCTION.EXAMPLE.COM (aes128-cts-hmac-sha1-96)
Ouvrez le fichier
/etc/sssd/sssd.conf
et choisissez la configuration de domaine SSSD appropriée à ajouter :Si le MSA correspond à un AD domain from a different forest, créez une nouvelle section de domaine nommée
[domain/<name_of_domain>]
, et entrez les informations sur le MSA et le keytab. Les options les plus importantes sontldap_sasl_authid
,ldap_krb5_keytab
, etkrb5_keytab
:[domain/production.example.com] ldap_sasl_authid = CLIENT!S3A$@PRODUCTION.EXAMPLE.COM ldap_krb5_keytab = /etc/krb5.keytab.production.example.com krb5_keytab = /etc/krb5.keytab.production.example.com ad_domain = production.example.com krb5_realm = PRODUCTION.EXAMPLE.COM access_provider = ad ...
Si le MSA correspond à un AD domain from the local forest, créez une nouvelle section de sous-domaine au format
[domain/root.example.com/sub-domain.example.com]
, et entrez des informations sur le MSA et le keytab. Les options les plus importantes sontldap_sasl_authid
,ldap_krb5_keytab
, etkrb5_keytab
:[domain/ad.example.com/production.example.com] ldap_sasl_authid = CLIENT!S3A$@PRODUCTION.EXAMPLE.COM ldap_krb5_keytab = /etc/krb5.keytab.production.example.com krb5_keytab = /etc/krb5.keytab.production.example.com ad_domain = production.example.com krb5_realm = PRODUCTION.EXAMPLE.COM access_provider = ad ...
Verification steps
Vérifiez que vous pouvez récupérer un ticket Kerberos (TGT) en tant que MSA :
[root@client ~]# kinit -k -t /etc/krb5.keytab.production.example.com 'CLIENT!S3A$' [root@client ~]# klist Ticket cache: KCM:0:54655 Default principal: CLIENT!S3A$@PRODUCTION.EXAMPLE.COM Valid starting Expires Service principal 11/22/2021 15:48:03 11/23/2021 15:48:03 krbtgt/PRODUCTION.EXAMPLE.COM@PRODUCTION.EXAMPLE.COM
- Dans AD, vérifiez que vous avez un MSA pour l'hôte dans l'unité d'organisation (OU) des comptes de services gérés.
Ressources supplémentaires