Centos Linux LDAP Authentication

הקדמה:

SSSD הוא חבילה המאפשרת למכונת ה Linux לעשות אופנטיקציה מול שרת Active Directory

נכנס אל שרת AD DS

כעת נכנס אל Active Directory Users and Computers

ניצור OU שאותו נכליל את קבוצת המשתמשים שיתאפשר אליהם גישה למכונות

ובונסף ניצור משתמש שישמש אותנו לחבר את המכונות אל LDAP

ונוסיף אותו לקבוצה ייעודית אליה ניתן גישה בהמשך

OU= IT-Admins

Group=ITAdmins

ניתן לראות שיצרנו יוזר לטובת ההטמעה של ה LDAP ובנוסף OU וקבוצה שניתן אליהם גישת ניהול

ניצור משתמש בסיסי לטובת חיבור המכונות לדומיין עם הרשאה להוספת משתמשים

קליק ימני על העכבר בשם של הדומין

New>User

מלאו את הפרטים

הקלידו את הסיסמא שתרצו

סמנו ללא תוקף

Finish

כעת ניתן לו זכות כדי לחבר מכונות לדומיין

מקש ימני על העכבר על שם domain

Delegate Control..

Next

Add

מלאו את שם המשתמש לחצו על Check Names

ok

Next

סמנו join a computer to domain

Next

Finish

כמה דגשים שנהיה חייבים לשים לב!

  • Linux servers have same dns of AD DS
  • on the dns server we have record of machine
  • Port 369 ldap or 636 ldaps opend on Firewall

עכשיו נכנס למכונת הלינוקס שלנו ונתקין את החבילות הדרושות

לחצו Y

 yum install python3-sss sssd sssd-ad sssd-ad-common sssd-krb5 sssd-ldap sssd-tools realmd adcli

בסוף נקבל הודעה שהכול הותקן בהצלחה

כעת נתחיל להגדיר את המערכת להזדהות מול שרת המשתמשים שלנו AD

הקלידו את הסיסמא

 realm join --user=xxxx  servername.doamin.com  -v

לאחר מכן נקבל הודעה שהצלחנו

כעת נערוך את הקובץ SSSD.CONF

בוא נראה מה יש בפנים

cat /etc/sssd/sssd.conf

כעת נוסיף את השורה תחת [sssd]

add this line for dns suffix

default_domain_suffix = tech-guy.co

שמרו את הקובץ

נאתחל את התהליך

systemctl restart sssd

הפעלה מחדש למכונה

reboot

ניתו לראות על ידי הפקודה "id "username

שרואים את הדומיים שלנו

כעת נכנס אל המכונה עם המשתמש מן הדוומיין

ניתן לראות שנוצרה תקיית בית בכניסה

כעת בואו נבדוק אם יש לנו הרשאת Sudo

נראה שאין , כדי להוסיף הרשאה נצטרך לערוך את קובץ

כ Best Practice תמיד אאפשר גישה אך ורק לקבוצה שנרצה

vi /etc/sssd/sssd.conf


services = nss, pam, sudo
#add this line for dns suffix
default_domain_suffix = tech-guy.co
#add AD Group for sudoers
ldap_search_base = dc=tech-guy,dc=co
ldap_sudo_search_base = ou=IT-Admins,dc=tech-guy,dc=co
ldap_sudo_full_refresh_interval = 21600  # optional: in minutes, default is 6 hours
ldap_sudo_smart_refresh_interval = 900  # optional: in minutes, default is 15 minutes

לשמור את הקובץ

ועכשיו נעבור אל nsswitch.conf

vi /etc/nsswitch.conf

add line#
sudoers: files sss

כעת נערוך את קובץ ה Sudoers

vi /etc/sudoers

replace itadmins for the relevant group
%itadmins ALL=(ALL:ALL) PASSWD:ALL

sudo reboot

נאתחל את המכונה מחדש כדי לבצע טעינה של כל ההרשאות

כעת בואו נכנס עם השם משתמש שלנו מחדש

והצלחנו!

חשוב לציין כ baseline תמיד לא לתת הרשאות ROOT אך ורק למי שנדרש בגלל שהוא משתמש ראשי עם הרשאות מלאות לכל דבר במערכת

ובאמצעות ניהול נכון של המשתמשים נוכל לפקח לשנות ולהסיר ולעבוד בצורה דינאמית ונכונה !

כתיבת תגובה

האימייל לא יוצג באתר. שדות החובה מסומנים *

CAPTCHA