2.4. Juntando um sistema RHEL a um domínio AD

Esta seção descreve como unir um sistema Red Hat Enterprise Linux a um domínio AD, usando realmd para configurar o Samba Winbind.

Procedimento

Se seu AD requer o tipo de criptografia RC4 obsoleto para autenticação Kerberos, habilite o suporte para estas cifras na RHEL:
```
update-crypto-policies --set DEFAULT:AD-SUPPORT
```
```
# update-crypto-policies --set DEFAULT:AD-SUPPORT
```
Copy to Clipboard Toggle word wrap

Instale os seguintes pacotes:

yum install realmd oddjob-mkhomedir oddjob samba-winbind-clients \ samba-winbind samba-common-tools samba-winbind-krb5-locator

# yum install realmd oddjob-mkhomedir oddjob samba-winbind-clients \ samba-winbind samba-common-tools samba-winbind-krb5-locator

Copy to Clipboard

Toggle word wrap

Para compartilhar diretórios ou impressoras no membro do domínio, instale o pacote samba:
```
yum install samba
```
```
# yum install samba
```
Copy to Clipboard Toggle word wrap
Faça o backup do arquivo de configuração existente /etc/samba/smb.conf Samba:
```
mv /etc/samba/smb.conf /etc/samba/smb.conf.bak
```
```
# mv /etc/samba/smb.conf /etc/samba/smb.conf.bak
```
Copy to Clipboard Toggle word wrap
Junte-se ao domínio. Por exemplo, para ingressar em um domínio chamado ad.example.com:
```
realm join --membership-software=samba --client-software=winbind ad.example.com
```
```
# realm join --membership-software=samba --client-software=winbind ad.example.com
```
Copy to Clipboard Toggle word wrap
Usando o comando anterior, o utilitário realm automaticamente:
- Cria um arquivo /etc/samba/smb.conf para uma associação no domínio ad.example.com
- Adiciona o módulo winbind para pesquisas de usuários e grupos ao arquivo /etc/nsswitch.conf
- Atualiza os arquivos de configuração do Módulo de Autenticação Pluggável (PAM) no diretório /etc/pam.d/
- Inicia o serviço winbind e permite que o serviço seja iniciado quando o sistema inicia
Opcionalmente, defina um mapeamento alternativo de identificação no back end ou configurações personalizadas de mapeamento de identificação no arquivo /etc/samba/smb.conf. Para detalhes, consulte a seção Entendendo e configurando o Samba ID mapping na documentação Deploying different types of servers.

Edite o arquivo /etc/krb5.conf e adicione a seguinte seção:

[plugins]
    localauth = {
        module = winbind:/usr/lib64/samba/krb5/winbind_krb5_localauth.so
        enable_only = winbind
    }

[plugins]
    localauth = {
        module = winbind:/usr/lib64/samba/krb5/winbind_krb5_localauth.so
        enable_only = winbind
    }

Copy to Clipboard

Toggle word wrap

Verifique se o serviço winbind está funcionando:
```
systemctl status winbind
```
```
# systemctl status winbind
...
   Active: active (running) since Tue 2018-11-06 19:10:40 CET; 15s ago
```
Copy to Clipboard Toggle word wrap
Importante
Para que o Samba possa consultar informações de usuários e grupos de domínio, o serviço winbind deve estar em execução antes de você iniciar smb.
Se você instalou o pacote samba para compartilhar diretórios e impressoras, ative e inicie o serviço smb:
```
systemctl enable --now smb
```
```
# systemctl enable --now smb
```
Copy to Clipboard Toggle word wrap

Etapas de verificação

Exibir os detalhes de um usuário AD, tais como a conta do administrador AD no domínio AD:
```
getent passwd "AD\administrator"
```
```
# getent passwd "AD\administrator"
AD\administrator:*:10000:10000::/home/administrator@AD:/bin/bash
```
Copy to Clipboard Toggle word wrap
Consultar os membros do grupo de usuários do domínio no domínio AD:
```
getent group "AD\Domain Users"
```
```
# getent group "AD\Domain Users"
    AD\domain users:x:10000:user1,user2
```
Copy to Clipboard Toggle word wrap
Opcionalmente, verifique se você pode utilizar usuários e grupos de domínio quando definir permissões em arquivos e diretórios. Por exemplo, para definir o proprietário do arquivo /srv/samba/example.txt para AD\administrator e o grupo para AD\Domain Users:
```
chown "AD\administrator":"AD\Domain Users" /srv/samba/example.txt
```
```
# chown "AD\administrator":"AD\Domain Users" /srv/samba/example.txt
```
Copy to Clipboard Toggle word wrap

Verificar se a autenticação Kerberos funciona como esperado:

No membro do domínio AD, obtenha um ticket para o principal administrator@AD.EXAMPLE.COM:
```
kinit administrator@AD.EXAMPLE.COM
```
```
# kinit administrator@AD.EXAMPLE.COM
```
Copy to Clipboard Toggle word wrap

Exibir o bilhete Kerberos em cache:

klist

# klist
Ticket cache: KCM:0
Default principal: administrator@AD.EXAMPLE.COM

Valid starting       Expires              Service principal
01.11.2018 10:00:00  01.11.2018 20:00:00  krbtgt/AD.EXAMPLE.COM@AD.EXAMPLE.COM
        renew until 08.11.2018 05:00:00

Copy to Clipboard

Toggle word wrap

Mostrar os domínios disponíveis:
```
wbinfo --all-domains
```
```
# wbinfo --all-domains
BUILTIN
SAMBA-SERVER
AD
```
Copy to Clipboard Toggle word wrap

Recursos adicionais

Se você não quiser usar as cifras RC4 depreciadas, você pode habilitar o tipo de criptografia AES em AD. Veja Habilitar o tipo de criptografia AES no Active Directory usando um GPO na documentação Deploying different types of servers.
Para mais detalhes sobre a utilidade realm, consulte a página de manual realm(8).

2.4. Juntando um sistema RHEL a um domínio AD

Aprender

Experimente, compre e venda

Comunidades

Sobre a documentação da Red Hat

Tornando o open source mais inclusivo

Sobre a Red Hat

Theme

Red Hat legal and privacy links

Red Hat legal and privacy links