Abaixo os procedimentos para colocar um Linux CentOS 7 para autenticar contas de um grupo do Active Directory (AD).
Para configurar um cliente no AD, é necessário que a rede do mesmo esteja toda ok (com o sufixo do domínio e os servidores DNS configurados, verifique se seu arquivo /etc/resolv.conf está assim), em seguida instale os pacotes necessários:
yum install sssd realmd oddjob oddjob-mkhomedir adcli samba-common samba-common-tools krb5-workstation openldap-clients policycoreutils-python -y
Para ingressar o servidor no domínio, execute (altere em cinza as partes necessárias):
realm join --user=useradm --os-name=Linux --os-version="CentOS 7" seudominio.com.br
Para usar a consulta DNS, execute os comandos:
LINHASSSD=$((`grep -n libdefaults] /etc/krb5.conf | cut -d: -f1`+1))
sed -i "$LINHASSSD s/^/ dns_lookup_kdc = true\n/" /etc/krb5.conf
sed -i "s/dns_lookup_realm = false/dns_lookup_realm = true/g" /etc/krb5.conf
Para logar com contas sem precisar colocar @seudominio.com.br, execute o comando:
sed -i "s/use_fully_qualified_names = True/use_fully_qualified_names = False/g" /etc/sssd/sssd.conf
sed -i "s/fallback_homedir = \/home\/\%u\@\%d/fallback_homedir = \/home\/%u/g" /etc/sssd/sssd.conf
Por segurança, desabilite o cache das credenciais com o comando abaixo:
sed -i "s/cache_credentials = True/cache_credentials = False/g" /etc/sssd/sssd.conf
Para filtrar que SOMENTE as contas do AD que podem acessar o linux sejam de um determinado grupo, execute o comando (será necessário o Distinguished Name, DN, do grupo, se não sabe como obter consulte aqui ou nas referências, no final do post):
echo "ad_access_filter = (memberOf=DISTINGUISHED_NAME_DO_GRUPO_DESEJADO)" >> /etc/sssd/sssd.conf
systemctl restart sssd
Pronto, basta agora efetuar logon com a conta de rede.
Fontes/Referências
NVLAN – Como obter o Distinguished Name (DN) no Active Directory
https://www.freeipa.org/images/c/cc/FreeIPA33-sssd-access-control.pdf
https://www.rootusers.com/how-to-join-centos-linux-to-an-active-directory-domain/
Mais Informações
Esperamos ter ajudado da melhor forma possível e estaremos sempre a disposição para mais informações.
Entre em contato conosco pelo e-mail equipe@nvlan.com.br.