Vamos ingressar CentOS em domínio Windows, com isso temos como gerenciar as identidades (quem precisa de acesso) baseado no AD da sua organização.
1-) # yum update (para deixar seu SO atualizado)
2-) Necessário as instalação abaixo:
sudo yum install oddjob oddjob-mkhomedir sssd adcli samba-common-tools realmd krb5-workstation krb5-libs -y (estou partindo do principio que ja tem SSH instalado)
3-) sudo realm discover CONTOSO.CORP (Seu dominio FQDN deve estar em letras maiusculas)
Resultado:
CONTOSO.CORP
type: kerberos
realm-name: CONTOSO.CORP
domain-name: contoso.corp
configured: kerberos-member
server-software: active-directory
client-software: sssd
required-package: oddjob
required-package: oddjob-mkhomedir
required-package: sssd
required-package: adcli
required-package: samba-common-tools
login-formats: %U
login-policy: allow-realm-logins
contoso.corp
type: kerberos
realm-name: CONTOSO.CORP
domain-name: contoso.corp
configured: no
4-) sudo kinit [email protected]
5-) sudo realm join –verbose CONTOSO.CORP -U ‘[email protected]’
Resultado:
[root@NINTENDO ~]# realm join –verbose CONTOSO.CORP -U ‘[email protected]’
- Resolving: _ldap._tcp.contoso.corp
- Performing LDAP DSE lookup on: 100.100.100.100
- Performing LDAP DSE lookup on: 100.100.100.101
- Successfully discovered: CONTOSO.CORP
Password for [email protected]: - Required files: /usr/sbin/oddjobd, /usr/libexec/oddjob/mkhomedir, /usr/sbin/sssd, /usr/bin/net
- LANG=C LOGNAME=root /usr/bin/net -s /var/cache/realmd/realmd-smb-conf.RVBTY0 -U [email protected] ads join CONTOSO.CORP
Enter [email protected]’s password:
Using short domain name — CONTOSO
Joined ‘NINTENDO’ to dns domain ‘CONTOSO.CORP’ - LANG=C LOGNAME=root /usr/bin/net -s /var/cache/realmd/realmd-smb-conf.RVBTY0 -U [email protected] ads keytab create
Enter [email protected]’s password: - /usr/bin/systemctl enable sssd.service
Created symlink from /etc/systemd/system/multi-user.target.wants/sssd.service to /usr/lib/systemd/system/sssd.service. - /usr/bin/systemctl restart sssd.service
- /usr/bin/sh -c /usr/sbin/authconfig –update –enablesssd –enablesssdauth –enablemkhomedir –nostart && /usr/bin/systemctl enable oddjobd.service && /usr/bin/systemctl start oddjobd.service
- Successfully enrolled machine in realm
[root@NINTENDO ~]#
Com o resultado acima seu CentOS ingressou no dominio Windows, veja se foi criado a entrada de DNS, se for o caso crie ela manual
6-) sudo sed -i ‘s/use_fully_qualified_names\ =\ True/use_fully_qualified_names\ =\ False/g’ /etc/sssd/sssd.conf
O comando acima server para ter que digitar o FQDN ao logar, exemplo: [email protected], basta somente charles.santana
7-) sudo systemctl daemon-reload && sudo systemctl restart sssd
Agora vamos adicionar o grupo de usuários do Windows (AD) para ter privilégios de ROOT
#visudo (enter) role até o fim e edit o arquivo
Allow root to run any commands anywhere
root ALL=(ALL) ALL
%\CONTOSO.CORP\Domain_Admin_Linux ALL=(ALL) ALL
Neste caso os usuários deste grupo terão privilégios de ROOT
ESC e wq! para salvar
Seja Feliz!!!