1.4.3. Conexão ao AD usando atributos POSIX definidos no Active Directory
Para melhor desempenho, publique os atributos POSIX no catálogo global AD. Se os atributos POSIX não estiverem presentes no catálogo global, o SSSD se conecta aos controladores de domínio individuais diretamente na porta LDAP.
Pré-requisitos
Certifique-se de que as seguintes portas no host RHEL estejam abertas e acessíveis para os controladores de domínio AD.
Tabela 1.2. Portos necessários para a integração direta de sistemas Linux no AD usando SSSD Serviço Porto Protocolo Notas DNS
53
UDP e TCP
LDAP
389
UDP e TCP
Kerberos
88
UDP e TCP
Kerberos
464
UDP e TCP
Usado pela kadmin para definir e alterar uma senha
Catálogo global LDAP
3268
TCP
Se a opção
id_provider = ad
estiver sendo utilizadaNTP
123
UDP
Opcional
- Certifique-se de que você está usando o servidor controlador de domínio AD para DNS.
- Verificar se o tempo do sistema em ambos os sistemas está sincronizado. Isto assegura que Kerberos seja capaz de trabalhar corretamente.
Procedimento
Instale os seguintes pacotes:
# yum instalar realmd oddjob oddjob-mkhomedir sssd adcli krb5-workstation
Configure o sistema RHEL local com o mapeamento de identificação desabilitado usando o comando
realm join
com a opção--automatic-id-mapping=no
. A suíterealmd
edita automaticamente todos os arquivos de configuração necessários. Por exemplo, para um domínio chamadoad.example.com
:# Reino Unido --automatic-id-mapping=no ad.example.com
Se você já entrou em um domínio, você pode desativar manualmente o mapeamento de identificação no SSSD:
-
Abra o arquivo
/etc/sssd/sssd.conf
. -
Na seção de domínio AD, adicione a configuração
ldap_id_mapping = false
. Remover as caches SSSD:
rm -f /var/lib/sss/db/*
Reinicie o SSSD:
systemctl restart sssd
-
Abra o arquivo
O SSSD agora usa atributos POSIX do AD, em vez de criá-los localmente.
Você deve ter os atributos POSIX relevantes (uidNumber
, gidNumber
, unixHomeDirectory
, e loginShell
) configurados para os usuários no AD.
Etapas de verificação
Exibir os detalhes de um usuário AD, como por exemplo o usuário administrador:
# getent passwd administrator@ad.example.com administrator@ad.example.com:*:10000:10000:Administrator:/home/Administrator:/bin/bash
Recursos adicionais
-
Para mais detalhes sobre o mapeamento de ID e o parâmetro
ldap_id_mapping
, consulte a página de manualsssd-ldap(8)
.