1.4.3. Conexão ao AD usando atributos POSIX definidos no Active Directory

Para melhor desempenho, publique os atributos POSIX no catálogo global AD. Se os atributos POSIX não estiverem presentes no catálogo global, o SSSD se conecta aos controladores de domínio individuais diretamente na porta LDAP.

Pré-requisitos

  • Certifique-se de que as seguintes portas no host RHEL estejam abertas e acessíveis para os controladores de domínio AD.

    Tabela 1.2. Portos necessários para a integração direta de sistemas Linux no AD usando SSSD

    ServiçoPortoProtocoloNotas

    DNS

    53

    UDP e TCP

    		 

    LDAP

    389

    UDP e TCP

    		 

    Kerberos

    88

    UDP e TCP

    		 

    Kerberos

    464

    UDP e TCP

    Usado pela kadmin para definir e alterar uma senha

    Catálogo global LDAP

    3268

    TCP

    Se a opção id_provider = ad estiver sendo utilizada

    NTP

    123

    UDP

    Opcional

  • Certifique-se de que você está usando o servidor controlador de domínio AD para DNS.
  • Verificar se o tempo do sistema em ambos os sistemas está sincronizado. Isto assegura que Kerberos seja capaz de trabalhar corretamente.

Procedimento

  1. Instale os seguintes pacotes: 

    # yum instalar realmd oddjob oddjob-mkhomedir sssd adcli krb5-workstation

  2. Configure o sistema RHEL local com o mapeamento de identificação desabilitado usando o comando realm join com a opção --automatic-id-mapping=no. A suíte realmd edita automaticamente todos os arquivos de configuração necessários. Por exemplo, para um domínio chamado ad.example.com: 

    # Reino Unido --automatic-id-mapping=no ad.example.com

  3. Se você já entrou em um domínio, você pode desativar manualmente o mapeamento de identificação no SSSD:

    1. Abra o arquivo /etc/sssd/sssd.conf.
    2. Na seção de domínio AD, adicione a configuração ldap_id_mapping = false.

    3. Remover as caches SSSD: 

      rm -f /var/lib/sss/db/*

    4. Reinicie o SSSD: 

      systemctl restart sssd

O SSSD agora usa atributos POSIX do AD, em vez de criá-los localmente.

Nota

Você deve ter os atributos POSIX relevantes (uidNumber, gidNumber, unixHomeDirectory, e loginShell) configurados para os usuários no AD.

Etapas de verificação

  • Exibir os detalhes de um usuário AD, como por exemplo o usuário administrador: 

    # getent passwd administrator@ad.example.com
administrator@ad.example.com:*:10000:10000:Administrator:/home/Administrator:/bin/bash

Recursos adicionais

  • Para mais detalhes sobre o mapeamento de ID e o parâmetro ldap_id_mapping, consulte a página de manual sssd-ldap(8).