搭建域控:参考 https://www.cnblogs.com/taosiyu/p/12009120.html

域控计算机全名: WIN-3PLKM2PLE6E.zhihu.test.com

域:zhihu.test.com

域控管理员:kingsoft

普通用户:zhangmingda

普通组:dev

IP:192.168.3.3

注: 域控同时做DNS服务器

Linux服务器:

[root@vm192-168-8-27 zhangmingda]# cat /etc/redhat-release

CentOS Linux release 7.7.1908 (Core)

操作步骤:

安装所需包文件:

yum install -y krb5-workstation realmd sssd samba-common adcli oddjob oddjob-mkhomedir samba samba-common-tools

编辑/etc/resolve.conf文件,将DNS指向DC

[root@vm192-168-8-27 zhangmingda]# cat /etc/resolv.conf

; generated by /usr/sbin/dhclient-script

nameserver 192.168.3.3

nameserver 198.18.254.31

[root@vm192-168-8-27 zhangmingda]#

编辑/etc/hosts文件,添加DC的IP及域的对应关系

[root@vm192-168-8-27 zhangmingda]# cat /etc/hosts

127.0.0.1   localhost localhost.localdomain localhost4 localhost4.localdomain4

::1         localhost localhost.localdomain localhost6 localhost6.localdomain6

192.168.3.3 WIN-3PLKM2PLE6E.zhihu.test.com

[root@vm192-168-8-27 zhangmingda]#

将Linux机器加入域

# realm join WIN-3PLKM2PLE6E.zhihu.test.com -U kingsoft
Password for kingsoft:

发现可以成功发现域了

[root@vm192-168-8-27 zhangmingda]# realm list

zhihu.test.com

  type: kerberos

  realm-name: ZHIHU.TEST.COM

  domain-name: zhihu.test.com

  configured: kerberos-member

  server-software: active-directory

  client-software: sssd

  required-package: oddjob

  required-package: oddjob-mkhomedir

  required-package: sssd

  required-package: adcli

  required-package: samba-common-tools

  login-formats: %U

  login-policy: allow-realm-logins

[root@vm192-168-8-27 zhangmingda]#

将组dev加入域

[root@vm192-168-8-27 zhangmingda]# realm permit -g dev@zhihu.test.com

[root@vm192-168-8-27 zhangmingda]#

可以看到用户kingsoft,zhangmingda可以被成功发现

[root@vm192-168-8-27 zhangmingda]# id zhangmingda@zhihu.test.com

uid=1724201104(zhangmingda) gid=1724200513(domain users) groups=1724200513(domain users)

[root@vm192-168-8-27 zhangmingda]# id zhudong@zhihu.test.com

uid=1724201108(zhudong) gid=1724200513(domain users) groups=1724200513(domain users)

[root@vm192-168-8-27 zhangmingda]# id kingsoft@zhihu.test.com

uid=1724201000(kingsoft) gid=1724200513(domain users) groups=1724200513(domain users)

[root@vm192-168-8-27 zhangmingda]# id administrator@zhihu.test.com

uid=1724200500(administrator) gid=1724200513(domain users) groups=1724200513(domain users),1724200520(group policy creator owners),1724200519(enterprise admins),1724200512(domain admins),1724200572(denied rodc password replication group),1724200518(schema admins)

[root@vm192-168-8-27 zhangmingda]#

为使用户不需用带域名就可以被识别,需要修改配置文件/etc/sssd/sssd.conf,将use_fully_qualified_names行的True值修改为False

[root@vm192-168-8-27 zhangmingda]# cat /etc/sssd/sssd.conf 

[sssd]

domains = zhihu.test.com

config_file_version = 2

services = nss, pam

[domain/zhihu.test.com]

ad_server = win-3plkm2ple6e.zhihu.test.com

ad_domain = zhihu.test.com

krb5_realm = ZHIHU.TEST.COM

realmd_tags = manages-system joined-with-adcli

cache_credentials = True

id_provider = ad

krb5_store_password_if_offline = True

default_shell = /bin/bash

ldap_id_mapping = True

use_fully_qualified_names = False

fallback_homedir = /home/%u@%d

access_provider = simple

simple_allow_groups = dev@zhihu.test.com, ops@zhihu.test.com

[root@vm192-168-8-27 zhangmingda]#

重启sssd服务,重新列出预控信息

[root@vm192-168-8-27 zhangmingda]# systemctl restart sssd

[root@vm192-168-8-27 zhangmingda]# realm list

[root@vm192-168-8-27 zhangmingda]# realm list

zhihu.test.com

  type: kerberos

  realm-name: ZHIHU.TEST.COM

  domain-name: zhihu.test.com

  configured: kerberos-member

  server-software: active-directory

  client-software: sssd

  required-package: oddjob

  required-package: oddjob-mkhomedir

  required-package: sssd

  required-package: adcli

  required-package: samba-common-tools

  login-formats: %U

  login-policy: allow-permitted-logins

  permitted-logins:

  permitted-groups: dev@zhihu.test.com, ops@zhihu.test.com

[root@vm192-168-8-27 zhangmingda]#

发现不加域信息,Linux服务器也可以识别域用户

[root@vm192-168-8-27 zhangmingda]# id zhangmingda

uid=1724201104(zhangmingda) gid=1724200513(domain users) groups=1724200513(domain users)

[root@vm192-168-8-27 zhangmingda]#

使用域用户ssh登录服务器

[root@vm192-168-8-27 zhangmingda]# ssh zhangmingda@192.168.8.27

zhangmingda@192.168.8.27's password:

Last login: Tue Nov 17 13:07:03 2020 from 192.168.8.27

[zhangmingda@vm192-168-8-27 ~]$ ls

[zhangmingda@vm192-168-8-27 ~]$  sudo su - root  

We trust you have received the usual lecture from the local System

Administrator. It usually boils down to these three things:

    #1) Respect the privacy of others.

    #2) Think before you type.

    #3) With great power comes great responsibility.

[sudo] password for zhangmingda:

zhangmingda is not in the sudoers file.  This incident will be reported.

[zhangmingda@vm192-168-8-27 ~]$

编辑 /etc/sudoers.d/waagent 文件,将需要root权限的用户加入到其下

[zhangmingda@vm192-168-8-27 ~]$ sudo cat /etc/sudoers.d/waagent

ltsstone ALL=(ALL) ALL

zhangmingda ALL=(ALL) ALL

[zhangmingda@vm192-168-8-27 ~]$
[zhangmingda@vm192-168-8-27 ~]$ sudo su - root

Last login: Tue Nov 17 14:28:41 CST 2020 on pts/1

[root@vm192-168-8-27 ~]#

linux服务器加入AD域(sssd)~ 通过域用户ssh登录加域的linux服务器的更多相关文章

  1. Linux—禁止用户SSH登录方法总结

    Linux-禁止用户SSH登录方法总结 一.禁止用户登录 1.修改用户配置文件/etc/shadow       将第二栏设置为"*",如下.那么该用户就无法登录.但是使用这种方式 ...

  2. Linux小技巧1:如何关闭Root用户SSH登陆

    新建用户 >useradd nonroot //新建用户 >passwd nonroot //创建/修改nonroot用户密码 >vim /etc/ssh/sshd_config 将 ...

  3. Windows Server 2016-Netdom Join加域并指定OU (一)

    前边我们提到了客户端如何通过图形化.netdom .Powershell方式加域,这里我们简单补充下生产环境中如何通过有权限的用户账号加域并指定对应的OU,以防止域策略下发对部分生产服务器权限等内容进 ...

  4. Windows Server 2016-图形化之客户端加域(一)

    要使用域环境,您必须将计算机加入域.只有加入域的计算机才能使用域资源.在连接期间,将在域中创建一个计算机帐户,以便将计算机作为成员进行身份验证.前边两节我们写到Windows Server 2016- ...

  5. Linux 禁止用户或 IP通过 SSH 登录

             一切都是为了安全,做到来着可知! 限制用户 SSH 登录 1.只允许指定用户进行登录(白名单): 在 /etc/ssh/sshd_config 配置文件中设置 AllowUsers ...

  6. SSH 学习记录及在SSH模式下使用XShell连接服务器

    传统的网络服务程序,如rsh.FTP.POP和Telnet其本质上都是不安全的:因为它们在网络上用明文传送数据.用户帐号和用户口令,很容易受到中间人(man-in-the-middle)攻击方式的攻击 ...

  7. linux ubuntu 远程ssh登录

    当我们有一个Linux系统的时候,可能用到远程ssh登录,当你是没有界面的系统的时候也会用到,远程操作起来比较方便. 首先我们的电脑默认是不安装ssh的,就是无法通过ssh远程连接,所以要安装shh. ...

  8. .net core在Linux下获取AD域信息

    .net core在Linux下获取AD域信息 .net Core 2.1.4 .net core现在System.DirectoryServices只支持Windows平台下使用. 参考: http ...

  9. Citrix 服务器虚拟化之二 Xenserver加域管理

    Citrix 服务器虚拟化之二   Xenserver加域管理 如果要使用多个用户和用户组来管理XenServer服务器,就必须使用 Active Directory 用户账户进行身份验证.XenSe ...

随机推荐

  1. Jmeter BlazeMeter实现web录制

      1. BlazeMeter安装和注册 BlazeMeter是一款与Apache JMeter兼容的chrome插件,采用BlazeMeter可以方便的进行流量录制和脚本生成,作为接口测试脚本编写的 ...

  2. Qt5 connect 重载信号和槽

    转载文章超哥的经验之谈---Qt5 connect使用之"重载信号和槽" 在Qt4中,关联信号与槽是要使用到SIGNAL()和SLOT()这两个宏. QLabel *label = ...

  3. Educational Codeforces Round 94 题解

    我竟然比到了全场的 rk 14,incredible! A 大水题,直接输出 \(n\) 遍 \(s_n\) 即可. B 分类讨论题,放在 B 题可能难度有点大了. 直接暴力枚举你拿了多少个宝剑,然后 ...

  4. Matlab混合编程

    Matlab混合编程 混合编程目的 在Matlab中采用混合编程目的主要包括 利用已有的函数库,避免重复工作 加速计算,特别是减少循环所用时间 利用GPU等进行异构编程 混合编程方法-mex函数 目前 ...

  5. 【机器学习与R语言】3-概率学习朴素贝叶斯(NB)

    目录 1.理解朴素贝叶斯 1)基本概念 2)朴素贝叶斯算法 2.朴素贝斯分类应用 1)收集数据 2)探索和准备数据 3)训练模型 4)评估模型性能 5)提升模型性能 1.理解朴素贝叶斯 1)基本概念 ...

  6. [R]在dplyr基础上编写函数-(1)eval

    tidyverse系列的R包虽然解放了大家的双手,但同时也束缚了我们重新编写函数的能力.在这一套语法中,要实现作为函数参数的字符串和变量之间的相互转换困难重重,但只要掌握了其中原理后,也就能够游刃有余 ...

  7. Visual Studio Code常用操作整理

    Live Server插件可以在保存html文件后实时地刷新页面 在html文件中键入"! +Tap"会生成一个html模板 保存文件:Ctrl+S 文件跳转:Ctrl+P 文件内 ...

  8. CSS区分Chrome和Firefox

    CSS区分Chrome和FireFox 描述:由于Chrome和Firefox浏览器内核不同,对CSS解析有差别,因此常会有在两个浏览器中显示效果不同的问题出现,解决办法如下: /*Chrome*/ ...

  9. 论文解读(SDNE)《Structural Deep Network Embedding》

    论文题目:<Structural Deep Network Embedding>发表时间:  KDD 2016 论文作者:  Aditya Grover;Aditya Grover; Ju ...

  10. A Child's History of England.27

    Then, the Red King went over to Normandy, where the people suffered greatly under the loose rule of ...