主页
产品
Red Hat Enterprise Linux
9
使用 RHEL 系统角色自动化系统管理
第 4 章使用 RHEL 系统角色将 RHEL 系统加入到活动目录

第 4 章使用 RHEL 系统角色将 RHEL 系统加入到活动目录

如果您的机构使用 Microsoft Active Directory (AD)集中管理用户、组和其他资源，您可以将 Red Hat Enterprise Linux (RHEL)主机加入到此 AD 。例如，AD 用户可以登录到 RHEL，您可以将 RHEL 主机上的服务提供给经过身份验证的 AD 用户。通过使用 ad_integration RHEL 系统角色，您可以将 Red Hat Enterprise Linux 系统自动集成到活动目录(AD)域中。

注意

ad_integration 角色用于使用没有身份管理(IdM)环境的直接 AD 集成的部署。对于 IdM 环境，请使用 ansible-freeipa 角色。

4.1. 使用 ad_integration RHEL 系统角色将 RHEL 加入到一个活动目录域
复制链接

您可以使用 ad_integration RHEL 系统角色自动化将 RHEL 加入到活动目录(AD)域的过程。

先决条件

您已准备好控制节点和受管节点。
您以可在受管主机上运行 playbook 的用户身份登录到控制节点。
用于连接到受管节点的帐户具有 sudo 权限。
受管节点使用可以解析 AD DNS 条目的 DNS 服务器。
有权将计算机加入到域的 AD 帐户的凭证。
确保所需的端口已打开：
- 使用 SSSD 将 RHEL 系统直接集成到 AD 所需的端口

流程

将敏感变量存储在加密的文件中：
1. 创建 vault ：
  $ ansible-vault create ~/vault.yml New Vault password: <vault_password> Confirm New Vault password: <vault_password>
  Copy to Clipboard Toggle word wrap
2. 在 ansible-vault create 命令打开编辑器后，以 <key>: <value> 格式输入敏感数据：
  usr: administrator pwd: <password>
  Copy to Clipboard Toggle word wrap
3. 保存更改，并关闭编辑器。Ansible 加密 vault 中的数据。

创建一个包含以下内容的 playbook 文件，如 ~/playbook.yml ：

---
- name: Active Directory integration
  hosts: managed-node-01.example.com
  vars_files:
    - ~/vault.yml
  tasks:
    - name: Join an Active Directory
      ansible.builtin.include_role:
        name: redhat.rhel_system_roles.ad_integration
      vars:
        ad_integration_user: "{{ usr }}"
        ad_integration_password: "{{ pwd }}"
        ad_integration_realm: "ad.example.com"
        ad_integration_allow_rc4_crypto: false
        ad_integration_timesync_source: "time_server.ad.example.com"

---
- name: Active Directory integration
  hosts: managed-node-01.example.com
  vars_files:
    - ~/vault.yml
  tasks:
    - name: Join an Active Directory
      ansible.builtin.include_role:
        name: redhat.rhel_system_roles.ad_integration
      vars:
        ad_integration_user: "{{ usr }}"
        ad_integration_password: "{{ pwd }}"
        ad_integration_realm: "ad.example.com"
        ad_integration_allow_rc4_crypto: false
        ad_integration_timesync_source: "time_server.ad.example.com"

Copy to Clipboard

Toggle word wrap

示例 playbook 中指定的设置包括如下：

ad_integration_allow_rc4_crypto: <true|false>

配置角色是否在受管节点上激活 AD-SUPPORT 加密策略。默认情况下，RHEL 不支持弱 RC4 加密，但如果 AD 中的 Kerberos 仍然需要 RC4，则您可以通过设置 ad_integration_allow_rc4_crypto: true 来启用这个加密类型。

如果 Kerberos 使用 AES 加密，则省略此变量或将其设置为 false。

ad_integration_timesync_source: <time_server>

指定用于时间同步的 NTP 服务器。Kerberos 需要在 AD 域控制器和域成员中同步时间，以防止重播攻击。如果省略此变量，ad_integration 角色不会使用 timesync RHEL 系统角色在受管节点上配置时间同步。

有关 playbook 中使用的所有变量的详情，请查看控制节点上的 /usr/share/ansible/roles/rhel-system-roles.ad_integration/README.md 文件。

验证 playbook 语法：
```
ansible-playbook --ask-vault-pass --syntax-check ~/playbook.yml
```
```
$ ansible-playbook --ask-vault-pass --syntax-check ~/playbook.yml
```
Copy to Clipboard Toggle word wrap
请注意，这个命令只验证语法，不能防止错误的、但有效的配置。

运行 playbook：

ansible-playbook --ask-vault-pass ~/playbook.yml

$ ansible-playbook --ask-vault-pass ~/playbook.yml

Copy to Clipboard

Toggle word wrap

验证

检查 AD 用户（如 administrator ）是否在受管节点上本地可用：

ansible managed-node-01.example.com -m command -a 'getent passwd administrator@ad.example.com'

$ ansible managed-node-01.example.com -m command -a 'getent passwd administrator@ad.example.com'
administrator@ad.example.com:*:1450400500:1450400513:Administrator:/home/administrator@ad.example.com:/bin/bash

Copy to Clipboard

Toggle word wrap

返回顶部

第 4 章使用 RHEL 系统角色将 RHEL 系统加入到活动目录

4.1. 使用 ad_integration RHEL 系统角色将 RHEL 加入到一个活动目录域
复制链接

学习

尝试、购买和销售

社区

关于红帽文档

让开源更具包容性

關於紅帽

Theme

Red Hat legal and privacy links

Red Hat legal and privacy links

第 4 章 使用 RHEL 系统角色将 RHEL 系统加入到活动目录

4.1. 使用 ad_integration RHEL 系统角色将 RHEL 加入到一个活动目录域复制链接链接已复制到粘贴板!

学习

尝试、购买和销售

社区

关于红帽文档

让开源更具包容性

關於紅帽

Theme

Red Hat legal and privacy links

Red Hat legal and privacy links

第 4 章使用 RHEL 系统角色将 RHEL 系统加入到活动目录

4.1. 使用 ad_integration RHEL 系统角色将 RHEL 加入到一个活动目录域
复制链接