红帽全球峰会8.3. 使用 Active Directory
从以下任一方法中选择:
8.3.1. 将 Active Directory 与 Cross-Forest Trust 搭配使用
复制链接链接已复制到粘贴板!
Kerberos 可以创建 跨林信任,该信任 定义了两个其他域林之间的关系。域林是域的层次结构;AD 和 IdM 都组成一个林。在 AD 和 IdM 之间启用了信任关系,AD 用户可以使用一组凭证访问 Linux 主机和服务。有关跨林信任的更多信息,请参阅 Red Hat Enterprise Linux Windows 集成指南[9].
从 Satellite 的角度来看,配置过程与与 IdM 服务器集成相同,而无需配置跨林信任。Satellite 服务器必须在 IPM 域中注册并集成,如 第 8.2 节 “使用身份管理” 所述。在 IdM 服务器中,需要以下额外步骤:
- 要启用 HBAC 功能,请创建一个外部组并将 AD 组添加到其中。将新外部组添加到 POSIX 组。在 HBAC 规则中使用这个 POSIX 组。
- 配置 sssd 以传输 AD 用户的其他属性。将这些属性添加到
/etc/sssd/sssd.conf中的 nss 和 domain 部分。例如:Copy to Clipboard Copied! Toggle word wrap Toggle overflow
8.3.2. 直接使用 Active Directory
复制链接链接已复制到粘贴板!
本节介绍如何使用直接 Active Directory (AD)作为 Satellite 服务器的外部身份验证源。直接 AD 集成意味着 Satellite 服务器直接加入到存储身份的 AD 域。推荐的设置由两个步骤组成:首先使用 AD 注册 Satellite,如 过程 8.4, “使用 AD 服务器注册 Satellite 服务器:” 所述,使用 GSS-proxy 完成 AD 集成,如 过程 8.5, “使用 GSS-proxy 配置直接 AD 集成:” 所述。
Apache 中 Kerberos 身份验证的传统进程需要 Apache 进程具有对 keytab 文件的读取访问权限。GSS-Proxy 允许您通过删除对 keytab 文件的访问而保留 Kerberos 身份验证功能,为 Apache 服务器实施更严格的权限分离。当使用 AD 作为 Satellite 的外部身份验证源时,建议实施 GSS-proxy,因为 keytab 文件中的密钥与主机密钥相同。
注意
AD 集成要求在 Red Hat Enterprise Linux 7.1 上部署 Red Hat Satellite 服务器。
在作为 Satellite 服务器基础操作系统的 Red Hat Enterprise Linux 上执行以下步骤。对于本节 EXAMPLE.ORG 中的示例,是 AD 域的 Kerberos 域。通过完成流程,属于 EXAMPLE.ORG 域的用户可以登录到 Satellite 服务器。
先决条件
确保安装了 GSS-proxy 和 nfs-utils :
yum install gssproxy nfs-utils
# yum install gssproxy nfs-utils过程 8.4. 使用 AD 服务器注册 Satellite 服务器:
- 安装所需的软件包:
yum install sssd adcli realmd ipa-python
# yum install sssd adcli realmd ipa-pythonCopy to Clipboard Copied! Toggle word wrap Toggle overflow - 将 Satellite 服务器注册到 AD 服务器。您可能需要具有管理员权限才能执行以下命令:
realm join -v EXAMPLE.ORG
# realm join -v EXAMPLE.ORGCopy to Clipboard Copied! Toggle word wrap Toggle overflow
使用 AD 服务器注册 Satellite 后,您可以使用 satellite-installer 命令配置直接与 GSS-proxy 集成。可为已安装的 Satellite 或 Satellite 安装过程中完成。请注意,Apache 用户不能访问 keytab 文件。还记下 Apache 用户的有效用户 ID (可以通过执行 id apache找到)。以下流程使用示例 UID 48。
过程 8.5. 使用 GSS-proxy 配置直接 AD 集成:
- 使用以下内容创建
/etc/ipa/default.conf文件:[global] server = unused realm = EXAMPLE.ORG
[global] server = unused realm = EXAMPLE.ORGCopy to Clipboard Copied! Toggle word wrap Toggle overflow - 使用以下内容创建
/etc/net-keytab.conf文件:[global] workgroup = EXAMPLE realm = EXAMPLE.ORG kerberos method = system keytab security = ads
[global] workgroup = EXAMPLE realm = EXAMPLE.ORG kerberos method = system keytab security = adsCopy to Clipboard Copied! Toggle word wrap Toggle overflow - 使用以下内容创建
/etc/gssproxy/00-http.conf文件:[service/HTTP] mechs = krb5 cred_store = keytab:/etc/krb5.keytab cred_store = ccache:/var/lib/gssproxy/clients/krb5cc_%U euid = 48
[service/HTTP] mechs = krb5 cred_store = keytab:/etc/krb5.keytab cred_store = ccache:/var/lib/gssproxy/clients/krb5cc_%U euid = 48Copy to Clipboard Copied! Toggle word wrap Toggle overflow - 在
/etc/krb5.conf文件的开头插入以下行:includedir /var/lib/sss/pubconf/krb5.include.d/
includedir /var/lib/sss/pubconf/krb5.include.d/Copy to Clipboard Copied! Toggle word wrap Toggle overflow - 在 Satellite 中启用 IPA 身份验证:
satellite-installer --foreman-ipa-authentication=true
# satellite-installer --foreman-ipa-authentication=trueCopy to Clipboard Copied! Toggle word wrap Toggle overflow - 启动并启用
gssproxy服务:systemctl restart gssproxy.service systemctl enable gssproxy.service
# systemctl restart gssproxy.service # systemctl enable gssproxy.serviceCopy to Clipboard Copied! Toggle word wrap Toggle overflow - 将 Apache HTTPD 服务器配置为使用
gssproxy服务:- 使用以下内容创建
/etc/systemd/system/httpd.service文件:.include /lib/systemd/system/httpd.service [Service] Environment=GSS_USE_PROXY=1
.include /lib/systemd/system/httpd.service [Service] Environment=GSS_USE_PROXY=1Copy to Clipboard Copied! Toggle word wrap Toggle overflow - 将更改应用到服务:
systemctl daemon-reload
# systemctl daemon-reloadCopy to Clipboard Copied! Toggle word wrap Toggle overflow
- 启动并启用
httpd服务:systemctl restart httpd.service
# systemctl restart httpd.serviceCopy to Clipboard Copied! Toggle word wrap Toggle overflow 使用正在运行的 Apache HTTP 服务器时,如果客户端具有有效的 Kerberos 票据,对服务器发出 HTTP 请求的用户会被身份验证。
用户现在可以在其浏览器中配置 Kerberos SSO 以进行登录,而无需在 Satellite GUI 中填写访问凭证。有关配置 Firefox 浏览器的更多信息,请参阅 Red Hat Enterprise Linux 系统级身份验证指南。Internet Explorer 浏览器的用户必须将 Satellite 服务器添加到本地 I intranet 或可信站点列表中,然后打开 Enable Integrated Windows Authentication 设置。详情请查看 Internet Explorer 文档。
注意
使用直接 AD 集成,通过 IdM 的 HBAC 不可用。另外,您可以使用组策略对象(GPO)使管理员在 AD 环境中集中管理策略。要确保 GPO 正确到 PAM 服务映射,请使用以下 sssd 配置:
access_provider = ad ad_gpo_access_control = enforcing ad_gpo_map_service = +foreman
access_provider = ad
ad_gpo_access_control = enforcing
ad_gpo_map_service = +foreman8.3.3. 将 Active Directory 与 LDAP 身份验证搭配使用
复制链接链接已复制到粘贴板!
要将 Active Directory 附加为没有单点登录支持的外部验证源,如需更多信息,请参阅 第 8.1 节 “使用 LDAP”。如需示例配置,请参阅 如何在 Satellite 6 上使用 TLS 配置 Active Directory 身份验证。
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}