Gestione di account Linux su AD con SSSD

From RVM Wiki
Jump to navigation Jump to search

Se si dispone di un dominio AD ad.example.com, è possibile gestire gli utenti locali Linux:

  • facendoli autenticare sul dominio AD
  • consentendo l'accesso solo ad utenzse appartenenti ad un determinato gruppo AD
  • gestendo le chiavi SSH come attributi AD.

Installazione e configurazione

  • Installare:
apt install sssd adcli realmd oddjob oddjob-mkhomedir sssd-tools sssd libnss-sss libpam-sss adcli packagekit
  • Abilitare la creazione automatica delle homedir:
pam-auth-update

 [*] Create home directory on login
  • Impostare il dominio DNS dell'AD:
vi /etc/resolv.conf

search ad.example.com
nameserver 1.2.3.4
  • Fare il join del dominio per sssd inserendo la password di Administrator del dominio
realm join ad.example.com
  • Verificare la risoluzione degli account:
id administrator@ad.examople.com
  • Per limitare il login ai soli utenti AD appartenenti al gruppo Domain Admins:
vi /etc/sssd/sssd.conf

[domain/ad.example.com]
#access_provider = ad
access_provider = simple
simple_allow_groups = Domain Admins@ad.rvmgroup.it
  • Per far cercare le chiavi ssh in AD:
vi /etc/sssd/sssd.conf

[sssd]
#services = nss, pam
services = nss, pam, ssh

[domain/ad.example.com]
ldap_user_extra_attrs = altSecurityIdentities:altSecurityIdentities
ldap_user_ssh_public_key = altSecurityIdentities
  • Per consentire di usare degli user locali, nel caso abbiano gli stessi nomi in AD:
vi /etc/sssd/sssd.conf

[nss]
filter_users = nobody,root,postfix,apache,nginx
filter_groups = nobody,root,postfix,apache,nginx

[pam]
offline_credentials_expiration = 14
  • Riavviare sssd:
systemctl restart sssd

Configurazione SSH

  • Per far richiedere la chiave ssh al server AD, occorre modificare:
vi /etc/ssh/sshd_config

#AuthorizedKeysCommand none
AuthorizedKeysCommand /usr/bin/sss_ssh_authorizedkeys
#AuthorizedKeysCommandUser nobody
AuthorizedKeysCommandUser root
  • Riavviare ssh:
sudo systemctl restart ssh

Configurazione utenze AD

  • Nella console AD Users & Computer, attivare la visualizzazione avanzata, e scegliere la tab Attributes dalle proprietà dello user
  • Inserire le chiavi pubbliche SSH nell'attributo altSecurityIdentities
  • Aggiungere lo user al gruppo AD configurato

Riferimenti

Retrieved from "https://kb.rvmgroup.it/index.php?title=Gestione_di_account_Linux_su_AD_con_SSSD&oldid=11365"