Pesquisar

1.4.3. Conexão ao AD usando atributos POSIX definidos no Active Directory

download PDF

Para melhor desempenho, publique os atributos POSIX no catálogo global AD. Se os atributos POSIX não estiverem presentes no catálogo global, o SSSD se conecta aos controladores de domínio individuais diretamente na porta LDAP.

Pré-requisitos

  • Certifique-se de que as seguintes portas no host RHEL estejam abertas e acessíveis para os controladores de domínio AD.

    Tabela 1.2. Portos necessários para a integração direta de sistemas Linux no AD usando SSSD
    ServiçoPortoProtocoloNotas

    DNS

    53

    UDP e TCP

     

    LDAP

    389

    UDP e TCP

     

    Kerberos

    88

    UDP e TCP

     

    Kerberos

    464

    UDP e TCP

    Usado pela kadmin para definir e alterar uma senha

    Catálogo global LDAP

    3268

    TCP

    Se a opção id_provider = ad estiver sendo utilizada

    NTP

    123

    UDP

    Opcional

  • Certifique-se de que você está usando o servidor controlador de domínio AD para DNS.
  • Verificar se o tempo do sistema em ambos os sistemas está sincronizado. Isto assegura que Kerberos seja capaz de trabalhar corretamente.

Procedimento

  1. Instale os seguintes pacotes:

    # yum instalar realmd oddjob oddjob-mkhomedir sssd adcli krb5-workstation
  2. Configure o sistema RHEL local com o mapeamento de identificação desabilitado usando o comando realm join com a opção --automatic-id-mapping=no. A suíte realmd edita automaticamente todos os arquivos de configuração necessários. Por exemplo, para um domínio chamado ad.example.com:

    # Reino Unido --automatic-id-mapping=no ad.example.com
  3. Se você já entrou em um domínio, você pode desativar manualmente o mapeamento de identificação no SSSD:

    1. Abra o arquivo /etc/sssd/sssd.conf.
    2. Na seção de domínio AD, adicione a configuração ldap_id_mapping = false.
    3. Remover as caches SSSD:

      rm -f /var/lib/sss/db/*
    4. Reinicie o SSSD:

      systemctl restart sssd

O SSSD agora usa atributos POSIX do AD, em vez de criá-los localmente.

Nota

Você deve ter os atributos POSIX relevantes (uidNumber, gidNumber, unixHomeDirectory, e loginShell) configurados para os usuários no AD.

Etapas de verificação

  • Exibir os detalhes de um usuário AD, como por exemplo o usuário administrador:

    # getent passwd administrator@ad.example.com
    administrator@ad.example.com:*:10000:10000:Administrator:/home/Administrator:/bin/bash

Recursos adicionais

  • Para mais detalhes sobre o mapeamento de ID e o parâmetro ldap_id_mapping, consulte a página de manual sssd-ldap(8).
Red Hat logoGithubRedditYoutubeTwitter

Aprender

Experimente, compre e venda

Comunidades

Sobre a documentação da Red Hat

Ajudamos os usuários da Red Hat a inovar e atingir seus objetivos com nossos produtos e serviços com conteúdo em que podem confiar.

Tornando o open source mais inclusivo

A Red Hat está comprometida em substituir a linguagem problemática em nosso código, documentação e propriedades da web. Para mais detalhes veja oBlog da Red Hat.

Sobre a Red Hat

Fornecemos soluções robustas que facilitam o trabalho das empresas em plataformas e ambientes, desde o data center principal até a borda da rede.

© 2024 Red Hat, Inc.