搭建域控:参考 https://www.cnblogs.com/taosiyu/p/12009120.html

域控计算机全名: WIN-3PLKM2PLE6E.zhihu.test.com

域:zhihu.test.com

域控管理员:kingsoft

普通用户:zhangmingda

普通组:dev

IP:192.168.3.3

注: 域控同时做DNS服务器

Linux服务器:

[root@vm192-168-8-27 zhangmingda]# cat /etc/redhat-release

CentOS Linux release 7.7.1908 (Core)

操作步骤:

安装所需包文件:

yum install -y krb5-workstation realmd sssd samba-common adcli oddjob oddjob-mkhomedir samba samba-common-tools

编辑/etc/resolve.conf文件,将DNS指向DC

[root@vm192-168-8-27 zhangmingda]# cat /etc/resolv.conf

; generated by /usr/sbin/dhclient-script

nameserver 192.168.3.3

nameserver 198.18.254.31

[root@vm192-168-8-27 zhangmingda]#

编辑/etc/hosts文件,添加DC的IP及域的对应关系

[root@vm192-168-8-27 zhangmingda]# cat /etc/hosts

127.0.0.1   localhost localhost.localdomain localhost4 localhost4.localdomain4

::1         localhost localhost.localdomain localhost6 localhost6.localdomain6

192.168.3.3 WIN-3PLKM2PLE6E.zhihu.test.com

[root@vm192-168-8-27 zhangmingda]#

将Linux机器加入域

# realm join WIN-3PLKM2PLE6E.zhihu.test.com -U kingsoft
Password for kingsoft:

发现可以成功发现域了

[root@vm192-168-8-27 zhangmingda]# realm list

zhihu.test.com

  type: kerberos

  realm-name: ZHIHU.TEST.COM

  domain-name: zhihu.test.com

  configured: kerberos-member

  server-software: active-directory

  client-software: sssd

  required-package: oddjob

  required-package: oddjob-mkhomedir

  required-package: sssd

  required-package: adcli

  required-package: samba-common-tools

  login-formats: %U

  login-policy: allow-realm-logins

[root@vm192-168-8-27 zhangmingda]#

将组dev加入域

[root@vm192-168-8-27 zhangmingda]# realm permit -g dev@zhihu.test.com

[root@vm192-168-8-27 zhangmingda]#

可以看到用户kingsoft,zhangmingda可以被成功发现

[root@vm192-168-8-27 zhangmingda]# id zhangmingda@zhihu.test.com

uid=1724201104(zhangmingda) gid=1724200513(domain users) groups=1724200513(domain users)

[root@vm192-168-8-27 zhangmingda]# id zhudong@zhihu.test.com

uid=1724201108(zhudong) gid=1724200513(domain users) groups=1724200513(domain users)

[root@vm192-168-8-27 zhangmingda]# id kingsoft@zhihu.test.com

uid=1724201000(kingsoft) gid=1724200513(domain users) groups=1724200513(domain users)

[root@vm192-168-8-27 zhangmingda]# id administrator@zhihu.test.com

uid=1724200500(administrator) gid=1724200513(domain users) groups=1724200513(domain users),1724200520(group policy creator owners),1724200519(enterprise admins),1724200512(domain admins),1724200572(denied rodc password replication group),1724200518(schema admins)

[root@vm192-168-8-27 zhangmingda]#

为使用户不需用带域名就可以被识别,需要修改配置文件/etc/sssd/sssd.conf,将use_fully_qualified_names行的True值修改为False

[root@vm192-168-8-27 zhangmingda]# cat /etc/sssd/sssd.conf 

[sssd]

domains = zhihu.test.com

config_file_version = 2

services = nss, pam

[domain/zhihu.test.com]

ad_server = win-3plkm2ple6e.zhihu.test.com

ad_domain = zhihu.test.com

krb5_realm = ZHIHU.TEST.COM

realmd_tags = manages-system joined-with-adcli

cache_credentials = True

id_provider = ad

krb5_store_password_if_offline = True

default_shell = /bin/bash

ldap_id_mapping = True

use_fully_qualified_names = False

fallback_homedir = /home/%u@%d

access_provider = simple

simple_allow_groups = dev@zhihu.test.com, ops@zhihu.test.com

[root@vm192-168-8-27 zhangmingda]#

重启sssd服务,重新列出预控信息

[root@vm192-168-8-27 zhangmingda]# systemctl restart sssd

[root@vm192-168-8-27 zhangmingda]# realm list

[root@vm192-168-8-27 zhangmingda]# realm list

zhihu.test.com

  type: kerberos

  realm-name: ZHIHU.TEST.COM

  domain-name: zhihu.test.com

  configured: kerberos-member

  server-software: active-directory

  client-software: sssd

  required-package: oddjob

  required-package: oddjob-mkhomedir

  required-package: sssd

  required-package: adcli

  required-package: samba-common-tools

  login-formats: %U

  login-policy: allow-permitted-logins

  permitted-logins:

  permitted-groups: dev@zhihu.test.com, ops@zhihu.test.com

[root@vm192-168-8-27 zhangmingda]#

发现不加域信息,Linux服务器也可以识别域用户

[root@vm192-168-8-27 zhangmingda]# id zhangmingda

uid=1724201104(zhangmingda) gid=1724200513(domain users) groups=1724200513(domain users)

[root@vm192-168-8-27 zhangmingda]#

使用域用户ssh登录服务器

[root@vm192-168-8-27 zhangmingda]# ssh zhangmingda@192.168.8.27

zhangmingda@192.168.8.27's password:

Last login: Tue Nov 17 13:07:03 2020 from 192.168.8.27

[zhangmingda@vm192-168-8-27 ~]$ ls

[zhangmingda@vm192-168-8-27 ~]$  sudo su - root  

We trust you have received the usual lecture from the local System

Administrator. It usually boils down to these three things:

    #1) Respect the privacy of others.

    #2) Think before you type.

    #3) With great power comes great responsibility.

[sudo] password for zhangmingda:

zhangmingda is not in the sudoers file.  This incident will be reported.

[zhangmingda@vm192-168-8-27 ~]$

编辑 /etc/sudoers.d/waagent 文件,将需要root权限的用户加入到其下

[zhangmingda@vm192-168-8-27 ~]$ sudo cat /etc/sudoers.d/waagent

ltsstone ALL=(ALL) ALL

zhangmingda ALL=(ALL) ALL

[zhangmingda@vm192-168-8-27 ~]$
[zhangmingda@vm192-168-8-27 ~]$ sudo su - root

Last login: Tue Nov 17 14:28:41 CST 2020 on pts/1

[root@vm192-168-8-27 ~]#

linux服务器加入AD域(sssd)~ 通过域用户ssh登录加域的linux服务器的更多相关文章

  1. Linux—禁止用户SSH登录方法总结

    Linux-禁止用户SSH登录方法总结 一.禁止用户登录 1.修改用户配置文件/etc/shadow       将第二栏设置为"*",如下.那么该用户就无法登录.但是使用这种方式 ...

  2. Linux小技巧1:如何关闭Root用户SSH登陆

    新建用户 >useradd nonroot //新建用户 >passwd nonroot //创建/修改nonroot用户密码 >vim /etc/ssh/sshd_config 将 ...

  3. Windows Server 2016-Netdom Join加域并指定OU (一)

    前边我们提到了客户端如何通过图形化.netdom .Powershell方式加域,这里我们简单补充下生产环境中如何通过有权限的用户账号加域并指定对应的OU,以防止域策略下发对部分生产服务器权限等内容进 ...

  4. Windows Server 2016-图形化之客户端加域(一)

    要使用域环境,您必须将计算机加入域.只有加入域的计算机才能使用域资源.在连接期间,将在域中创建一个计算机帐户,以便将计算机作为成员进行身份验证.前边两节我们写到Windows Server 2016- ...

  5. Linux 禁止用户或 IP通过 SSH 登录

             一切都是为了安全,做到来着可知! 限制用户 SSH 登录 1.只允许指定用户进行登录(白名单): 在 /etc/ssh/sshd_config 配置文件中设置 AllowUsers ...

  6. SSH 学习记录及在SSH模式下使用XShell连接服务器

    传统的网络服务程序,如rsh.FTP.POP和Telnet其本质上都是不安全的:因为它们在网络上用明文传送数据.用户帐号和用户口令,很容易受到中间人(man-in-the-middle)攻击方式的攻击 ...

  7. linux ubuntu 远程ssh登录

    当我们有一个Linux系统的时候,可能用到远程ssh登录,当你是没有界面的系统的时候也会用到,远程操作起来比较方便. 首先我们的电脑默认是不安装ssh的,就是无法通过ssh远程连接,所以要安装shh. ...

  8. .net core在Linux下获取AD域信息

    .net core在Linux下获取AD域信息 .net Core 2.1.4 .net core现在System.DirectoryServices只支持Windows平台下使用. 参考: http ...

  9. Citrix 服务器虚拟化之二 Xenserver加域管理

    Citrix 服务器虚拟化之二   Xenserver加域管理 如果要使用多个用户和用户组来管理XenServer服务器,就必须使用 Active Directory 用户账户进行身份验证.XenSe ...

随机推荐

  1. Insights直播回顾,对话专家,HMS Core 6创新能力解读

    HMS Core Insights第八期直播–对话专家,HMS Core 6创新能力解读,已于11月25日圆满结束,本期直播与小伙伴们一同了解了HMS Core 6在图形.媒体以及连接与通信领域推出的 ...

  2. Codeforces 917D - Stranger Trees(矩阵树定理/推式子+组合意义)

    Codeforces 题目传送门 & 洛谷题目传送门 刚好看到 wjz 在做这题,心想这题之前好像省选前做过,当时觉得是道挺不错的题,为啥没写题解呢?于是就过来补了,由此可见我真是个大鸽子(( ...

  3. DTOJ 3987: 数学课

    题目描述 wzy又来上数学课了-- 虽然他很菜,但是数学还是懂一丢丢的.老师出了一道题,给定一个包含$n$个元素的集合$P=1,2,3--n$求有多少集合$A \subseteq P$,满足$x \i ...

  4. jupyter 远程访问

    Jupyter 远程访问 jupyter 远程访问的工作方法是,在本地通过浏览器打开jupyter,但是代码和服务运行在远程集群中. 集群设置 首先需要确保集群中安装有python和jupyter. ...

  5. Discontinuous Galerkin method for steady transport problem

    下面讨论如何使用 Discontinuous Galerkin 求解恒定对流问题. 1.简介 恒定状态对流方程 \[\begin{equation} a\cdot \nabla \mathbf{u} ...

  6. Linux-centos7设置静态IP地址

    参考:https://blog.csdn.net/sjhuangx/article/details/79618865

  7. STM32 部分重映射和完全重映射(查看数据手册)

    数据手册如何查找对应的映射: 打开官网直接搜索STM32F可以看到数据手册,里面有关于重映射的表格,输入第6页的页码,点击9.3中的9.3x可打开对应的链接.  举例说明: STM32中拥有重映射功能 ...

  8. 【STM8】SPI通讯

    这篇内容有点长,如果有人想透过我的博客学习STM8的SPI,那是我的荣幸 首先我要先说大纲,这样大家心里比较有底,可以把精力都用在SPI理解上 [SPI初步介绍]:介绍SPI如何接线.名称解释.通讯注 ...

  9. ajaxSubmit返回JSON格式

    开发时遇到根据不同情况返回错误提示信息的需求,用到了ajax中返回json格式数据的. 前台请求代码: <script type="text/javascript">  ...

  10. liunux 6.5设置网卡默认开启

    编辑如下文件; vi /etc/sysconfig/network-scripts/ifcfg-eth0 把 ONBOOT=no 改为 ONBOOT=yes 好了网卡会在启动机器的时候一起启动了.