realmd とは
Realmd は、ID ドメインを検出して参加するための簡単な方法を提供します。 sssd や winbind などの Linux システム サービスを構成して、実際のネットワーク認証とユーザー アカウントの検索を行います。 CentOS/RHEL 7 のリリースでは、realmd が完全にサポートされ、IdM、AD、または Kerberos レルムに参加するために使用できます。 realmd を使用する主な利点は、単純な 1 行のコマンドを提供してドメインに登録し、ネットワーク認証を構成できることです。たとえば、realmd は次のように簡単に構成できます。
- PAM スタック
- NSS レイヤー
- ケルベロス
- SSSD
- ウィンバインド
realmd を使用して、CentOS/RHEL 7 を Active Directory クライアントとして構成する
下記の手順に従って、Realmd を使用して Active Directory (AD) ドメインに接続する Linux クライアントを構成します。
1. AD クライアントを構成するために必要なパッケージをインストールします。
# yum install realmd oddjob oddjob-mkhomedir sssd adcli openldap-clients policycoreutils-python samba-common samba-common-tools krb5-workstation
list サブコマンドを使用して、現在ドメインに属していないことを確認できます:
# realm list
出力は空白である必要があります。これで、次のステップであるドメインの検出と参加に進む準備が整いました。
2. Active Directory ドメインを検出し、以下のコマンドで参加します。
# realm discover ad.example.com ad.example.com type: kerberos realm-name: AD.EXAMPLE.COM domain-name: ad.example.com configured: no server-software: active-directory client-software: sssd required-package: oddjob required-package: oddjob-mkhomedir required-package: sssd required-package: adcli required-package: samba-common-tools
# realm join ad.example.com Password for Administrator: realm: Joined ad.example.com domain
3. kerberose 設定ファイル /etc/krb5.conf を確認します 含める:
# cat /etc/krb5.conf
# Configuration snippets may be placed in this directory as well
includedir /etc/krb5.conf.d/
[logging]
default = FILE:/var/log/krb5libs.log
kdc = FILE:/var/log/krb5kdc.log
admin_server = FILE:/var/log/kadmind.log
[libdefaults]
default = DOMAIN.EXAMPLE.COM
dns_lookup_realm = true
dns_lookup_kdc=true
ticket_lifetime = 24h
renew_lifetime = 7d
forwardable = true
rdns = false
default_ccache_name = KEYRING:persistent:%{uid}
default_realm = DOMAIN.EXAMPLE.COM
default_ccache_name = KEYRING:persistent:%{uid}
[realms]
AD.EXAMPLE.COM = {
kdc = [hostname_of_server].domain.example.com:88
admin_server = domain.example.com
}
[domain_realm]
.domain.example.com = DOMAIN.EXAMPLE.COM
domain.example.com = DOMAIN.EXAMPLE.COM 4. /etc/sssd/sssd.conf に以下のエントリがあることを確認します。
# cat /etc/sssd/sssd.conf [sssd] domains = domain.example.com config_file_version = 2 services = nss, pam [domain/domain.example.com] ad_server = domain.example.com ad_domain = domain.example.com krb5_realm = DOMAIN.EXAMPLE.COM realmd_tags = manages-system joined-with-adcli cache_credentials = True id_provider = ad krb5_store_password_if_offline = True default_shell = /bin/bash ldap_id_mapping = True use_fully_qualified_names = True fallback_homedir = /home/%u@%d access_provider = ad enumeration = True
5. sssd.conf に適切な権限を割り当てます。
# chown root:root /etc/sssd/sssd.conf # chmod 0600 /etc/sssd/sssd.conf # restorecon /etc/sssd/sssd.conf # authconfig --enablesssd --enablesssdauth --enablemkhomedir --update # systemctl start sssd
確認
次のコマンドで接続を確認してください:
# id user@domain.example.com # ssh user@domain.example.com
これらのコマンドの例を以下に示します。
# id user@ad.example.com uid=1348601103(user@ad.example.com) gid=1348600513(domain users@ad.example.com) groups=1348600513(domain users@ad.example.com)
# ssh user@ad.example.com@127.0.0.1 user@ad.example.com@127.0.0.1's password: Creating home directory for user@ad.example.com. $ pwd /home/ad.example.com/user