在 Linux 中連接到 Windows AD 的身份驗證機制？

我的公司要求我考慮將我們的 CentOS 7 實例連接到我們的 Active Directory，以便更輕鬆地進行使用者管理。

到目前為止，我已經看過：

• Kerberos，通過命令行進行 -如何將 CentOS Linux 加入 Active Directory 域
• OpenLDAP - 24.7。配置系統以使用 OpenLDAP 進行身份驗證

是否有任何其他工具或資源我應該考慮進行盡職調查？

sssd並且realmd是迄今為止完成這項工作的最簡單方法。以下步驟是我為使我的 CentOS 機器進入域並能夠將訪問權限僅限於 Active Directory (AD) 中安全組中的特定使用者所做的操作。

**注意：**以下兩個連結中的所有步驟：

• https://www.rootusers.com/how-to-join-centos-linux-to-an-active-directory-domain/
• https://askubuntu.com/questions/545058/ssh-allow-windows-ad-groupswith-special-charactors

安裝軟體包

$ sudo yum install -y sssd realmd oddjob oddjob-mkhomedir adcli \
  samba-common samba-common-tools krb5-workstation openldap-clients \
  policycoreutils-python

編輯/etc/resolv.conf文件並插入以下兩行：

$ sudo vi /etc/resolv.conf
search <domain>
nameserver <ip>

加入 AD DOM

將 Linux 機器加入域，以便在 Active Directory 中看到並查看您現在在域中：

$ sudo realm join --user=<user with permissions to add users to the domain> <domain>
$ sudo realm list

編輯/etc/sssd/sssd.conf：

從

use_fully_qualified_names = True
fallback_homedir = /home/%u@%d

到

use_fully_qualified_names = False
fallback_homedir = /home/%u

然後重啟sssd服務：

$ sudo systemctl restart sssd

設置須藤

創建將在 AD 中使用的組/etc/sudoers.d/<group Name>並編輯文件並添加使用者訪問權限：

$ sudo touch /etc/sudoers.d/sudoers
$ sudo vi !$

sudoers將此組所需的權限插入文件中：

%sudoers    ALL=(ALL)       ALL

**注意：**讓系統管理員在 AD 中創建相同的組。

編輯哪些組或使用者可以通過 SSH 訪問系統。編輯/etc/ssh/sshd_config組並將其添加到該AllowGroups部分。您可能需要添加AllowGroups到配置文件，我必須：

AllowGroups sudoers node_access

我有兩組，sudoers和node_access。編輯/etc/security/access.conf組並將其添加到此文件中，以僅允許sudoersandnode_access組中的使用者進行 ssh 訪問。

將 () 中的組添加到文件的以下部分access.conf：

# Same, but make sure that really the group wheel and not the user
# wheel is used (use nodefgroup argument, too):
#
-:ALL EXCEPT (wheel) shutdown sync:LOCAL (sudoers) (node_access)

重新啟動sssd服務並測試。

引用自：https://unix.stackexchange.com/questions/427037