搭建域控:参考 https://www.cnblogs.com/taosiyu/p/12009120.html

域控计算机全名: WIN-3PLKM2PLE6E.zhihu.test.com

域:zhihu.test.com

域控管理员:kingsoft

普通用户:zhangmingda

普通组:dev

IP:192.168.3.3

注: 域控同时做DNS服务器

Linux服务器:

[root@vm192-168-8-27 zhangmingda]# cat /etc/redhat-release

CentOS Linux release 7.7.1908 (Core)

操作步骤:

安装所需包文件:

yum install -y krb5-workstation realmd sssd samba-common adcli oddjob oddjob-mkhomedir samba samba-common-tools

编辑/etc/resolve.conf文件,将DNS指向DC

[root@vm192-168-8-27 zhangmingda]# cat /etc/resolv.conf

; generated by /usr/sbin/dhclient-script

nameserver 192.168.3.3

nameserver 198.18.254.31

[root@vm192-168-8-27 zhangmingda]#

编辑/etc/hosts文件,添加DC的IP及域的对应关系

[root@vm192-168-8-27 zhangmingda]# cat /etc/hosts

127.0.0.1   localhost localhost.localdomain localhost4 localhost4.localdomain4

::1         localhost localhost.localdomain localhost6 localhost6.localdomain6

192.168.3.3 WIN-3PLKM2PLE6E.zhihu.test.com

[root@vm192-168-8-27 zhangmingda]#

将Linux机器加入域

# realm join WIN-3PLKM2PLE6E.zhihu.test.com -U kingsoft
Password for kingsoft:

发现可以成功发现域了

[root@vm192-168-8-27 zhangmingda]# realm list

zhihu.test.com

  type: kerberos

  realm-name: ZHIHU.TEST.COM

  domain-name: zhihu.test.com

  configured: kerberos-member

  server-software: active-directory

  client-software: sssd

  required-package: oddjob

  required-package: oddjob-mkhomedir

  required-package: sssd

  required-package: adcli

  required-package: samba-common-tools

  login-formats: %U

  login-policy: allow-realm-logins

[root@vm192-168-8-27 zhangmingda]#

将组dev加入域

[root@vm192-168-8-27 zhangmingda]# realm permit -g dev@zhihu.test.com

[root@vm192-168-8-27 zhangmingda]#

可以看到用户kingsoft,zhangmingda可以被成功发现

[root@vm192-168-8-27 zhangmingda]# id zhangmingda@zhihu.test.com

uid=1724201104(zhangmingda) gid=1724200513(domain users) groups=1724200513(domain users)

[root@vm192-168-8-27 zhangmingda]# id zhudong@zhihu.test.com

uid=1724201108(zhudong) gid=1724200513(domain users) groups=1724200513(domain users)

[root@vm192-168-8-27 zhangmingda]# id kingsoft@zhihu.test.com

uid=1724201000(kingsoft) gid=1724200513(domain users) groups=1724200513(domain users)

[root@vm192-168-8-27 zhangmingda]# id administrator@zhihu.test.com

uid=1724200500(administrator) gid=1724200513(domain users) groups=1724200513(domain users),1724200520(group policy creator owners),1724200519(enterprise admins),1724200512(domain admins),1724200572(denied rodc password replication group),1724200518(schema admins)

[root@vm192-168-8-27 zhangmingda]#

为使用户不需用带域名就可以被识别,需要修改配置文件/etc/sssd/sssd.conf,将use_fully_qualified_names行的True值修改为False

[root@vm192-168-8-27 zhangmingda]# cat /etc/sssd/sssd.conf 

[sssd]

domains = zhihu.test.com

config_file_version = 2

services = nss, pam

[domain/zhihu.test.com]

ad_server = win-3plkm2ple6e.zhihu.test.com

ad_domain = zhihu.test.com

krb5_realm = ZHIHU.TEST.COM

realmd_tags = manages-system joined-with-adcli

cache_credentials = True

id_provider = ad

krb5_store_password_if_offline = True

default_shell = /bin/bash

ldap_id_mapping = True

use_fully_qualified_names = False

fallback_homedir = /home/%u@%d

access_provider = simple

simple_allow_groups = dev@zhihu.test.com, ops@zhihu.test.com

[root@vm192-168-8-27 zhangmingda]#

重启sssd服务,重新列出预控信息

[root@vm192-168-8-27 zhangmingda]# systemctl restart sssd

[root@vm192-168-8-27 zhangmingda]# realm list

[root@vm192-168-8-27 zhangmingda]# realm list

zhihu.test.com

  type: kerberos

  realm-name: ZHIHU.TEST.COM

  domain-name: zhihu.test.com

  configured: kerberos-member

  server-software: active-directory

  client-software: sssd

  required-package: oddjob

  required-package: oddjob-mkhomedir

  required-package: sssd

  required-package: adcli

  required-package: samba-common-tools

  login-formats: %U

  login-policy: allow-permitted-logins

  permitted-logins:

  permitted-groups: dev@zhihu.test.com, ops@zhihu.test.com

[root@vm192-168-8-27 zhangmingda]#

发现不加域信息,Linux服务器也可以识别域用户

[root@vm192-168-8-27 zhangmingda]# id zhangmingda

uid=1724201104(zhangmingda) gid=1724200513(domain users) groups=1724200513(domain users)

[root@vm192-168-8-27 zhangmingda]#

使用域用户ssh登录服务器

[root@vm192-168-8-27 zhangmingda]# ssh zhangmingda@192.168.8.27

zhangmingda@192.168.8.27's password:

Last login: Tue Nov 17 13:07:03 2020 from 192.168.8.27

[zhangmingda@vm192-168-8-27 ~]$ ls

[zhangmingda@vm192-168-8-27 ~]$  sudo su - root  

We trust you have received the usual lecture from the local System

Administrator. It usually boils down to these three things:

    #1) Respect the privacy of others.

    #2) Think before you type.

    #3) With great power comes great responsibility.

[sudo] password for zhangmingda:

zhangmingda is not in the sudoers file.  This incident will be reported.

[zhangmingda@vm192-168-8-27 ~]$

编辑 /etc/sudoers.d/waagent 文件,将需要root权限的用户加入到其下

[zhangmingda@vm192-168-8-27 ~]$ sudo cat /etc/sudoers.d/waagent

ltsstone ALL=(ALL) ALL

zhangmingda ALL=(ALL) ALL

[zhangmingda@vm192-168-8-27 ~]$
[zhangmingda@vm192-168-8-27 ~]$ sudo su - root

Last login: Tue Nov 17 14:28:41 CST 2020 on pts/1

[root@vm192-168-8-27 ~]#

linux服务器加入AD域(sssd)~ 通过域用户ssh登录加域的linux服务器的更多相关文章

  1. Linux—禁止用户SSH登录方法总结

    Linux-禁止用户SSH登录方法总结 一.禁止用户登录 1.修改用户配置文件/etc/shadow       将第二栏设置为"*",如下.那么该用户就无法登录.但是使用这种方式 ...

  2. Linux小技巧1:如何关闭Root用户SSH登陆

    新建用户 >useradd nonroot //新建用户 >passwd nonroot //创建/修改nonroot用户密码 >vim /etc/ssh/sshd_config 将 ...

  3. Windows Server 2016-Netdom Join加域并指定OU (一)

    前边我们提到了客户端如何通过图形化.netdom .Powershell方式加域,这里我们简单补充下生产环境中如何通过有权限的用户账号加域并指定对应的OU,以防止域策略下发对部分生产服务器权限等内容进 ...

  4. Windows Server 2016-图形化之客户端加域(一)

    要使用域环境,您必须将计算机加入域.只有加入域的计算机才能使用域资源.在连接期间,将在域中创建一个计算机帐户,以便将计算机作为成员进行身份验证.前边两节我们写到Windows Server 2016- ...

  5. Linux 禁止用户或 IP通过 SSH 登录

             一切都是为了安全,做到来着可知! 限制用户 SSH 登录 1.只允许指定用户进行登录(白名单): 在 /etc/ssh/sshd_config 配置文件中设置 AllowUsers ...

  6. SSH 学习记录及在SSH模式下使用XShell连接服务器

    传统的网络服务程序,如rsh.FTP.POP和Telnet其本质上都是不安全的:因为它们在网络上用明文传送数据.用户帐号和用户口令,很容易受到中间人(man-in-the-middle)攻击方式的攻击 ...

  7. linux ubuntu 远程ssh登录

    当我们有一个Linux系统的时候,可能用到远程ssh登录,当你是没有界面的系统的时候也会用到,远程操作起来比较方便. 首先我们的电脑默认是不安装ssh的,就是无法通过ssh远程连接,所以要安装shh. ...

  8. .net core在Linux下获取AD域信息

    .net core在Linux下获取AD域信息 .net Core 2.1.4 .net core现在System.DirectoryServices只支持Windows平台下使用. 参考: http ...

  9. Citrix 服务器虚拟化之二 Xenserver加域管理

    Citrix 服务器虚拟化之二   Xenserver加域管理 如果要使用多个用户和用户组来管理XenServer服务器,就必须使用 Active Directory 用户账户进行身份验证.XenSe ...

随机推荐

  1. 如何在Docker容器中使用Arthas

    Arthas(阿尔萨斯) 能为你做什么? Arthas 是Alibaba开源的Java诊断工具,深受开发者喜爱. 当你遇到以下类似问题而束手无策时,Arthas可以帮助你解决: 这个类从哪个 jar ...

  2. [Noip 2018][标题统计 龙湖斗 摆渡车 对称二叉树]普及组题解

    啊喂,都已经9102年了,你还在想去年? 这里是一个Noip2018年PJ第二题打爆的OIer,错失省一 但经过了一年,我学到了很多,也有了很多朋友,水平也提高了很多,现在回看当时: 今年的Noip ...

  3. [CSP-S2019] 树上的数

    考虑处理字典序的一类经典操作: 按位枚举. 我们思考一些性质: 一个点的权值出去则不会再回来. 一条边不会使用两次. 那么我们从小到大来操作. 那么存在矛盾当且仅当: 起点在之前非开始边被操作过 中间 ...

  4. Codeforces 1446D2 - Frequency Problem (Hard Version)(根分)

    Codeforces 题面传送门 & 洛谷题面传送门 人菜结论题做不动/kk 首先考虑此题一个非常关键的结论:我们设整个数列的众数为 \(G\),那么在最优子段中,\(G\) 一定是该子段的众 ...

  5. Codeforces 1542E2 - Abnormal Permutation Pairs (hard version)(DP)

    upd on 2021.7.7:修了个 typo Codeforces 题目传送门 & 洛谷题目传送门 首先考虑怎样处理"字典序小"这个问题,按照字典序比大小的套路,我们可 ...

  6. DP 做题记录 II.

    里面会有一些数据结构优化 DP 的题目(如 XI.),以及普通 DP. *I. P3643 [APIO2016]划艇 题意简述:给出序列 \(a_i,b_i\),求出有多少序列 \(c_i\) 满足 ...

  7. Vue 中 $on $once $off $emit 详细分析,以及使用

    vue的 $on,$emit,$off,$once Api 中的解释: $on(eventName:string|Array, callback) 监听事件 监听当前实例上的自定义事件.事件可以由 v ...

  8. ss 显示socket状态

    ss ===show socket用于显示socket状态 所有的TCP sockets 所有的UDP sockets 所有ssh/ftp/ttp/https持久连接 所有连接到Xserver的本地进 ...

  9. python12类

    self 表示类里面的对象的引用 python一般不需要去解决内存管理,解释器会进行自动给回收 #类鱼类之间空格两行,前面的函数里面也是两行,类里面的方法个一行 class Cat(object): ...

  10. 59. Divide Two Integers

    Divide Two Integers My Submissions QuestionEditorial Solution Total Accepted: 66073 Total Submission ...