Intro

In oudere versies van Linux is lastiger om users te authenticeren met behulp van de Active Directory van Windows. Echter uit bijvoorbeeld beheersoogpunt is het soms wel gewenst dat dit gebeurd. Users hebben dan 1 inlog voor Windows en Linux. Deze uitleg is bruikbaar voor Redhat/CentOS 6.x servers en soortgelijken.

Software

Om middels sssd te kunnen authenticeren zijn een aantal packages nodig die als volgt geinstalleerd kunnen worden:

yum -y install authconfig  pam_krb5 samba-common oddjob-mkhomedir sssd 

De Kerberos configuratiefile moet er zo uit zien in /etc/krb5.conf:

[logging]
 default = FILE:/var/log/krb5libs.log
 kdc = FILE:/var/log/krb5kdc.log
 admin_server = FILE:/var/log/kadmind.log

[libdefaults]
 default_realm = example.ORG
 dns_lookup_realm = false
 dns_lookup_kdc = false
 ticket_lifetime = 24h
 renew_lifetime = 7d
 forwardable = true

[realms]
 example.ORG = {
  kdc = dc-01-p.example.org:88
 }

[domain_realm]
 example.org = example.ORG
 .example.org = example.ORG

Het [global] gedeelte van /etc/samba/smb.conf dient er zo uit te zien:

[global]
   workgroup = EXAMPLE-DOMAIN
   realm = example.ORG
   security = ads
   idmap config * : range = 16777216-33554431
   template homedir = /home/%U
   template shell = /bin/bash
   winbind use default domain = true
   winbind offline logon = false

Let op dat onder Standalone Server de volgende parametes zijn uitgecommentarieerd:

;security = user
;passdb backend = tdbsam

De configuratiefile van sssd moet er zo uitzien in /etc/sssd/sssd.conf (deze configuratiefile bestaat meestal nog niet)

chmod 600 /etc/sssd/sssd.conf

Joinen van het example.org domein

Restart het e.e.a. om alle wijzigingen actief te maken:

service sssd restart
service winbind restart 

Om het example.org domein te joinen geef je:

net ads join example.org -U <admin user>

Om te controleren of het joinen geslaagd is geef je: (foutmeldingen over dns ed kunnen genegeerd worden)

net ads testjoin

Als het joinen daadwerkelijk geslaagd is kan de authenticatie worden aangepast met:

authconfig --enablesssd --enablesssdauth --enablemkhomedir --update

Opmerking: Het kan zijn dat het restarten voor het stop gedeelte een foutmelding geeft, zolang de tweede stap, het starten maar een Ok geeft.

Om ervoor te zorgen dat na een reboot het authenticeren tegen de AD blijft werken:

Toegang beperken tot groepen

Dit gaat anders dan onder CentOS 7 / Redhat 7. We beperken de toegang tot groepen door de ssh daemon configuratie aan te passen en de volgende regel toe te passen:

AllowGroups developers administrators root

In dit voorbeeld kan root inloggen, administrators en de developers via hun AD account. Laat bijv. developers weg als deze op de betreffende server niets te zoeken hebben

Problemen oplossen

Een enkele keer wordt /etc/nsswitch.conf niet geupdate, deze dient er als volgt uit te zien (voor CentOS/Redhat 6):

#
# /etc/nsswitch.conf
#
passwd:     files sss winbind
shadow:     files sss winbind
group:      files sss winbind
hosts:      files dns
bootparams: nisplus [NOTFOUND=return] files
ethers:     files
netmasks:   files
networks:   files
protocols:  files
rpc:        files
services:   files sss
netgroup:   files sss
publickey:  nisplus
automount:  files sss
aliases:    files nisplus

Controleer of een AD user herkend wordt op een linux server:

id <ad-account>

Je krijgt dan iets terug als (de Windows AD groepen waartoe iemand lid van is):

Intro

In oudere versies van Linux wat het soms lastig om users te authenticeren met behulp van de Active Directory van Windows. Echter uit bijvoorbeeld beheersoogpunt is het soms wel gewenst dat dit gebeurd. Users hebben dan 1 inlog voor Windows en Linux. Deze uitleg is bruikbaar voor Redhat/CentOS 7.x servers en soortgelijken.

Software

Om middels sssd te kunnen authenticeren zijn een aantal packages nodig die als volgt geinstalleerd kunnen worden:

yum install realmd samba samba-common oddjob oddjob-mkhomedir adclie sssd ntp ntpdate

Opmerking: Voordat we verder kunnen met het joinen van een domein moet de linux server in time-sync zijn met de AD. Hiervoor moet een ntp daemon zoals ntpd of chrony worden geconfigureerd. Dit valt buiten de scope van dit artikel. 

Joinen van een domein

Als root wordt een Linux server (eenmalig) in het domein toegevoegd middels:

realm join --user=<administrator> exampe.com

Let op: Zorg ervoor dat chrony of ntp draait en de Linux server in time-sync is.

Als dit geslaagd is moet de server deze vorm van authenticatie ook gaan gebruiken, dat kan via:

authconfig --update --enablesssd --enablesssdauth --enablemkhomedir 

Hierdoor wordt /etc/nsswitch.conf aangepast, er zal in eerste instantie worden gekeken of de gebruiker lokaal bekend is, zo niet, zal de authenticatie via de AD worden afgehandeld. Om ervoor te zorgen dat gebruikers niet hun volledige gebruikersnaam en domein hoeven te gebruiken wordt de volgende regel toegevoegd in /etc/sssd/sssd.conf:

[sssd]
.... 
default_domain_suffix=example.com
..... 

Toegang beperken tot groepen

Om ervoor te zorgen dat niet iedereen met een valide account kan inloggen kan op basis van bestaande AD groepen toegang tot een Linux server worden verleend:

realm permit --groups "example.com\\linuxadmins" 

In /etc/sssd/sssd.conf is dit vervolgens te controleren:

[domain/example.com] 
.... 
access_provider = simple 
simple_allow_groups = example.com\linuxadmins
..... 

Na deze wijziging(en) is een restart nodig van de sssd daemon:

systemctl restart sssd

RedHat heeft onlangs versie 7 gelanceerd van hun Enterrprise Linux distributie. In deze versie 7 zitten, uiteraard, een aantal verbeteringen t.o.v. de vorige versie maar ook een aantal nieuwe dingen. Hier een kort overzichtje van een aantal nieuwigheden en verbeteringen:

• Intergratie met de Active Directory, geen winbind meer nodig.
• Performance en optimalization tools. Met oa. tuna kan grafisch kernel parameters worden getuned en de effecten ervan worden bekeken.
• XFS is het standaard filesysteem, support voor max. 500TB. EXT-4 wordt ook ondersteund maar komt niet verder dan 50TB devices.
• Vernieuwde installatie waarbij (server)rollen gekozen kunnen worden en daarna additionele packages
• Upgrade assistent om RedHat 6.5 of hoger te kunnen upgraden naar RedHat 7.
• NTP is vervangen door chrony, het ntp package is er nog wel.
• Introductie van containers om applicaties in hun eigen omgeving te laten draaien voor veiligheid en eenvoudige uitrol.
• Systemcontrol (systemctl) is nu de standaard en vervangt (de nog wel aanwezige) service en chkconfig en maakt start/stop script intelligenter en de resources beter te beheren.

Daarnaast zijn er voor de desktop omgeving (wie gebruikt daar RedHat voor?) uiteraard de nieuwe KDE en GNOME omgevingen meegeleverd. Een compleet overzicht van alles wat nieuw en veranderd is vind je hier: http://www.redhat.com/rhecm/rest-rhecm/jcr/repository/collaboration/jcr:system/jcr:versionStorage/6945bd2d0a05260142050b2f447f7fb5/1/jcr:frozenNode/rh:resourceFile