Aqui falaremos sobre meios mais comuns de realizar a integração do CentOS com uma estrutura LDAP Microsoft Active Directory.
Existem algumas formas de realizar esse procedimento, as que consideremos principais são:
Samba: Configurando o servidor como um cliente windows e ingressando ao domínio, é o método mais comum descrito na internet mas acabamos não usando por alguns motivos, principalmente:
- O servidor linux não aproveita dos recursos da GPO, o que acaba não tendo grandes benefícios para ingressar ao domínio;
- O procedimento é longo e ingressar ao domínio não executa nenhum filtro de quais usuários podem se autenticar nesse linux (muito trabalho para um serviço “incompleto”);
- Basicamente quando queremos integrar o sistema operacional com o LDAP é apenas para autenticação local e SSH;
- Usar o samba também pode gerar compartilhamentos no servidor;
- Se feito de forma errada, pode inclusive apagar o domínio LDAP (já fomos em cliente que executou procedimentos na internet sem muita documentação e acabou ingressando o servidor linux com o mesmo nome do servidor AD, sobrescrevendo a estrutura LDAP e dando vários problemas para rollback);
NSCD: Este é um daemon que basicamente fornece acesso à alguns tipos de banco de dados (inclusive LDAP) e que é possível integrar com a autenticação do linux, este é o modelo que normalmente utilizamos. Para verificar o procedimento de como executar a integração com o NSCD consulte neste link, ou nas referências abaixo;
SSSD: Também um daemon que permite a integração da autenticação do linux a várias base de dados (inclusive LDAP), com um metódo de cache próprio. Para verificar o procedimento de como executar a integração com o SSSD consulte neste link, ou nas referências abaixo;
Kerberos: Este é o método mais rápido de ser executado, porém é necessário criar cada conta manualmente em cada servidor linux antes de poderem fazer logon (o que deixa a solução de uma forma geral menos automática e gerenciável do que com o NSCD). Com o Kerberos usamos um ticket de autenticação LDAP, no nosso caso configuramos para usarmos usuários locais do CentOS (precisamos criar o usuário) mas a senha é autenticada no LDAP, desta forma conseguimos garantir quais usuários terão acesso ao servidor linux. Para verificar o procedimento de como executar a integração com o Kerberos consulte neste link, ou nas referências abaixo;
Fontes/Referências
NVLAN – Configurando o NSCD para integrar o CentOS com o LDAP (Active Directory)
NVLAN – Configurando o Kerberos para integrar o CentOS com o LDAP (Active Directory)
NVLAN – Configurando o SSSD para integrar o CentOS com o LDAP (Active Directory)
https://www.freeipa.org/images/c/cc/FreeIPA33-sssd-access-control.pdf
http://www.tutorialspoint.com/unix_commands/nscd.htm
https://www.rootusers.com/how-to-join-centos-linux-to-an-active-directory-domain/
Mais Informações
Esperamos ter ajudado da melhor forma possível e estaremos sempre a disposição para mais informações.
Entre em contato conosco pelo e-mail equipe@nvlan.com.br.
