Аутентифікація Active Directory¶
Передумови¶
- Деяке розуміння Active Directory
- Деяке розуміння LDAP
Вступ¶
Microsoft Active Directory (AD) є системою автентифікації за замовчуванням для систем Windows і зовнішніх служб, підключених через LDAP, на більшості підприємств. Він дозволяє налаштовувати користувачів і групи, контролювати доступ, дозволи, автоматичне монтування тощо.
Тепер, хоча підключення Linux до кластера AD не може підтримувати усі згадані функції, воно може працювати з користувачами, групами та контролем доступу. Розповсюджувати ключі SSH за допомогою AD можливо (хоча деякі налаштування конфігурації на стороні Linux і деякі додаткові параметри на стороні AD).
Однак у цьому посібнику йдеться лише про налаштування автентифікації для Active Directory і не включатиме жодних додаткових налаштувань для Windows.
Виявлення та приєднання до AD за допомогою SSSD¶
Примітка
Доменне ім’я ad.company.local у цьому посібнику представлятиме домен Active Directory. Щоб слідувати цьому посібнику, замініть його ім’ям свого домену AD.
Першим кроком до приєднання системи Linux до AD є виявлення вашого кластера AD, щоб переконатися, що конфігурація мережі правильна з обох сторін.
Підготовка¶
- Переконайтеся, що такі порти відкриті для хосту Linux на контролері домену:
| Служба | Порт(и) | Примітки |
|---|---|---|
| DNS | 53 (TCP+UDP) | |
| Kerberos | 88, 464 (TCP+UDP) | Використовується kadmin для налаштування та оновлення паролів |
| LDAP | 389 (TCP+UDP) | |
| LDAP-GC | 3268 (TCP) | Глобальний каталог LDAP – дозволяє отримувати ідентифікатори користувачів з AD |
- Переконайтеся, що ви налаштували контролер домену AD як DNS-сервер на хості Rocky Linux:
З NetworkManager:
# де основним підключенням NetworkManager є «System eth0», а AD
# сервер доступний за IP-адресою 10.0.0.2.
[root@host ~]$ nmcli con mod 'System eth0' ipv4.dns 10.0.0.2
- Переконайтеся, що час на обох сторонах (хост AD і система Linux) синхронізовано (див. Chronyd)
Щоб перевірити час у Rocky Linux:
[user@host ~]$ date
Wed 22 Sep 17:11:35 BST 2021
- Встановіть необхідні пакети для підключення AD на стороні Linux:
[user@host ~]$ sudo dnf install realmd oddjob oddjob-mkhomedir sssd adcli krb5-workstation
Відкриття¶
Тепер ви зможете виявити сервер(и) AD на хості Linux.
[user@host ~]$ realm discover ad.company.local
ad.company.local
type: kerberos
realm-name: AD.COMPANY.LOCAL
domain-name: ad.company.local
configured: no
server-software: active-directory
client-software: sssd
required-package: oddjob
required-package: oddjob-mkhomedir
required-package: sssd
required-package: adcli
required-package: samba-common
Це буде виявлено за допомогою відповідних записів SRV, що зберігаються у вашій службі DNS Active Directory.
Приєднання¶
Після того, як ви успішно виявите свою інсталяцію Active Directory на хості Linux, ви зможете використовувати realmd для приєднання до домену, який організує конфігурацію sssd за допомогою adcli та деякі інші подібні інструменти.
[user@host ~]$ sudo realm join ad.company.local
Якщо цей процес скаржиться на шифрування з KDC не підтримує тип шифрування, спробуйте оновити глобальну політику шифрування, щоб дозволити старі алгоритми шифрування:
[user@host ~]$ sudo update-crypto-policies --set DEFAULT:AD-SUPPORT
Якщо цей процес завершиться успішно, тепер ви зможете отримати інформацію passwd для користувача Active Directory.
[user@host ~]$ sudo getent passwd administrator@ad.company.local
administrator@ad.company.local:*:1450400500:1450400513:Administrator:/home/administrator@ad.company.local:/bin/bash
Примітка
getent отримує записи з бібліотек перемикання служб імен (NSS). Це означає, що, наприклад, на відміну від passwd або dig, він запитуватиме різні бази даних, у тому числі /etc/hosts для getent hosts або з sssd у випадку getent passwd.
realm надає кілька цікавих параметрів, якими можна скористатися:
| Опція | Функціональність |
|---|---|
| --computer-ou='OU=LINUX,OU=SERVERS,dc=ad,dc=company.local' | Підрозділ, де зберігати обліковий запис сервера |
| --os-name='rocky' | Укажіть назву ОС, яка зберігається в AD |
| --os-version='8' | Укажіть версію ОС, яка зберігається в AD |
| -U admin_username | Вкажіть обліковий запис адміністратора |
Спроба автентифікації¶
Тепер ваші користувачі мають мати змогу автентифікуватися на вашому хості Linux у Active Directory.
У Windows 10: (яка надає власну копію OpenSSH)
C:\Users\John.Doe> ssh -l john.doe@ad.company.local linux.host
Password for john.doe@ad.company.local:
Activate the web console with: systemctl enable --now cockpit.socket
Last login: Wed Sep 15 17:37:03 2021 from 10.0.10.241
[john.doe@ad.company.local@host ~]$
Якщо це вдається, ви успішно налаштували Linux на використання Active Directory як джерела автентифікації.
Встановлення домену за замовчуванням¶
У повному налаштуванні за замовчуванням вам потрібно буде ввійти за допомогою свого облікового запису AD, вказавши домен у своєму імені користувача (наприклад, john.doe@ad.company.local). Якщо це не бажана поведінка, і ви натомість хочете мати можливість опускати доменне ім’я під час автентифікації, ви можете налаштувати SSSD на певний домен за замовчуванням.
Це відносно простий процес, який потребує налаштування конфігурації у файлі конфігурації SSSD.
[user@host ~]$ sudo vi /etc/sssd/sssd.conf
[sssd]
...
default_domain_suffix = ad.company.local
Додавши default_domain_suffix, ви вказуєте SSSD (якщо не вказано інший домен) зробити висновок, що користувач намагається автентифікуватися як користувач із ad.company.local домен. Це дозволяє вам автентифікуватись як щось на зразок john.doe замість john.doe@ad.company.local.
Щоб ця зміна конфігурації набула чинності, потрібно перезапустити модуль sssd.service за допомогою systemctl.
[user@host ~]$ sudo systemctl restart sssd
Таким же чином, якщо ви не бажаєте, щоб ваші домашні каталоги суфіксувалися доменним іменем, ви можете додати ці параметри у свій файл конфігурації /etc/sssd/sssd.conf:
[domain/ad.company.local]
use_fully_qualified_names = False
override_homedir = /home/%u
Не забудьте перезапустити службу sssd.
Обмеження для певних користувачів¶
Існують різні способи обмеження доступу до сервера для обмеженого списку користувачів, але цей, як випливає з назви, безперечно найпростіший:
Додайте ці параметри у свій файл конфігурації /etc/sssd/sssd.conf і перезапустіть службу:
access_provider = simple
simple_allow_groups = group1, group2
simple_allow_users = user1, user2
Тепер тільки користувачі з group1 і group2 або user1 і user2 зможуть підключитися до сервера за допомогою sssd!
Взаємодія з AD за допомогою adcli¶
adcli — це CLI для виконання дій у домені Active Directory.
- Якщо ще не встановлено, встановіть необхідний пакет:
[user@host ~]$ sudo dnf install adcli
- Перевірте, чи приєднувалися ви коли-небудь до домену Active Directory:
[user@host ~]$ sudo adcli testjoin
Successfully validated join to domain ad.company.local
- Отримайте більш детальну інформацію про домен:
[user@host ~]$ adcli info ad.company.local
[domain]
domain-name = ad.company.local
domain-short = AD
domain-forest = ad.company.local
domain-controller = dc1.ad.company.local
domain-controller-site = site1
domain-controller-flags = gc ldap ds kdc timeserv closest writable full-secret ads-web
domain-controller-usable = yes
domain-controllers = dc1.ad.company.local dc2.ad.company.local
[computer]
computer-site = site1
- Ви можете використовувати adcli більше, ніж інструмент консультування, щоб взаємодіяти зі своїм доменом: керувати користувачами чи групами, змінювати пароль тощо.
Приклад: використовуйте adcli, щоб отримати інформацію про комп’ютер:
Примітка
Цього разу ми надамо ім’я користувача адміністратора завдяки параметру -U
[user@host ~]$ adcli show-computer pctest -U admin_username
Password for admin_username@AD:
sAMAccountName:
pctest$
userPrincipalName:
- not set -
msDS-KeyVersionNumber:
9
msDS-supportedEncryptionTypes:
24
dNSHostName:
pctest.ad.company.local
servicePrincipalName:
RestrictedKrbHost/pctest.ad.company.local
RestrictedKrbHost/pctest
host/pctest.ad.company.local
host/pctest
operatingSystem:
Rocky
operatingSystemVersion:
8
operatingSystemServicePack:
- not set -
pwdLastSet:
133189248188488832
userAccountControl:
69632
description:
- not set -
Приклад: використовуйте adcli, щоб змінити пароль користувача:
[user@host ~]$ adcli passwd-user user_test -U admin_username
Password for admin_username@AD:
Password for user_test:
[user@host ~]$
Вирішення проблем¶
Іноді мережева служба запускається після SSSD, що спричиняє проблеми з автентифікацією.
Користувачі AD не зможуть підключитися, доки ви не перезапустите службу.
У такому випадку ви повинні змінити службовий файл systemd, щоб вирішити цю проблему.
Скопіюйте цей вміст у /etc/systemd/system/sssd.service:
[Unit]
Description=System Security Services Daemon
# SSSD must be running before we permit user sessions
Before=systemd-user-sessions.service nss-user-lookup.target
Wants=nss-user-lookup.target
After=network-online.target
[Service]
Environment=DEBUG_LOGGER=--logger=files
EnvironmentFile=-/etc/sysconfig/sssd
ExecStart=/usr/sbin/sssd -i ${DEBUG_LOGGER}
Type=notify
NotifyAccess=main
PIDFile=/var/run/sssd.pid
[Install]
WantedBy=multi-user.target
При наступному перезавантаженні служба запуститься відповідно до своїх вимог, і все пройде добре.
Вихід з Active Directory¶
Іноді необхідно вийти з AD.
Ви можете ще раз продовжити з realm, а потім видалити пакети, які більше не потрібні:
[user@host ~]$ sudo realm leave ad.company.local
[user@host ~]$ sudo dnf remove realmd oddjob oddjob-mkhomedir sssd adcli krb5-workstation
Author: Hayden Young
Contributors: Steven Spencer, Sambhav Saggi, Antoine Le Morvan, Krista Burdine, Ganna Zhyrnova