搭建域控:参考 https://www.cnblogs.com/taosiyu/p/12009120.html

域控计算机全名: WIN-3PLKM2PLE6E.zhihu.test.com

域:zhihu.test.com

域控管理员:kingsoft

普通用户:zhangmingda

普通组:dev

IP:192.168.3.3

注: 域控同时做DNS服务器

Linux服务器:

[root@vm192-168-8-27 zhangmingda]# cat /etc/redhat-release

CentOS Linux release 7.7.1908 (Core)

操作步骤:

安装所需包文件:

yum install -y krb5-workstation realmd sssd samba-common adcli oddjob oddjob-mkhomedir samba samba-common-tools

编辑/etc/resolve.conf文件,将DNS指向DC

[root@vm192-168-8-27 zhangmingda]# cat /etc/resolv.conf

; generated by /usr/sbin/dhclient-script

nameserver 192.168.3.3

nameserver 198.18.254.31

[root@vm192-168-8-27 zhangmingda]#

编辑/etc/hosts文件,添加DC的IP及域的对应关系

[root@vm192-168-8-27 zhangmingda]# cat /etc/hosts

127.0.0.1   localhost localhost.localdomain localhost4 localhost4.localdomain4

::1         localhost localhost.localdomain localhost6 localhost6.localdomain6

192.168.3.3 WIN-3PLKM2PLE6E.zhihu.test.com

[root@vm192-168-8-27 zhangmingda]#

将Linux机器加入域

# realm join WIN-3PLKM2PLE6E.zhihu.test.com -U kingsoft
Password for kingsoft:

发现可以成功发现域了

[root@vm192-168-8-27 zhangmingda]# realm list

zhihu.test.com

  type: kerberos

  realm-name: ZHIHU.TEST.COM

  domain-name: zhihu.test.com

  configured: kerberos-member

  server-software: active-directory

  client-software: sssd

  required-package: oddjob

  required-package: oddjob-mkhomedir

  required-package: sssd

  required-package: adcli

  required-package: samba-common-tools

  login-formats: %U

  login-policy: allow-realm-logins

[root@vm192-168-8-27 zhangmingda]#

将组dev加入域

[root@vm192-168-8-27 zhangmingda]# realm permit -g dev@zhihu.test.com

[root@vm192-168-8-27 zhangmingda]#

可以看到用户kingsoft,zhangmingda可以被成功发现

[root@vm192-168-8-27 zhangmingda]# id zhangmingda@zhihu.test.com

uid=1724201104(zhangmingda) gid=1724200513(domain users) groups=1724200513(domain users)

[root@vm192-168-8-27 zhangmingda]# id zhudong@zhihu.test.com

uid=1724201108(zhudong) gid=1724200513(domain users) groups=1724200513(domain users)

[root@vm192-168-8-27 zhangmingda]# id kingsoft@zhihu.test.com

uid=1724201000(kingsoft) gid=1724200513(domain users) groups=1724200513(domain users)

[root@vm192-168-8-27 zhangmingda]# id administrator@zhihu.test.com

uid=1724200500(administrator) gid=1724200513(domain users) groups=1724200513(domain users),1724200520(group policy creator owners),1724200519(enterprise admins),1724200512(domain admins),1724200572(denied rodc password replication group),1724200518(schema admins)

[root@vm192-168-8-27 zhangmingda]#

为使用户不需用带域名就可以被识别,需要修改配置文件/etc/sssd/sssd.conf,将use_fully_qualified_names行的True值修改为False

[root@vm192-168-8-27 zhangmingda]# cat /etc/sssd/sssd.conf 

[sssd]

domains = zhihu.test.com

config_file_version = 2

services = nss, pam

[domain/zhihu.test.com]

ad_server = win-3plkm2ple6e.zhihu.test.com

ad_domain = zhihu.test.com

krb5_realm = ZHIHU.TEST.COM

realmd_tags = manages-system joined-with-adcli

cache_credentials = True

id_provider = ad

krb5_store_password_if_offline = True

default_shell = /bin/bash

ldap_id_mapping = True

use_fully_qualified_names = False

fallback_homedir = /home/%u@%d

access_provider = simple

simple_allow_groups = dev@zhihu.test.com, ops@zhihu.test.com

[root@vm192-168-8-27 zhangmingda]#

重启sssd服务,重新列出预控信息

[root@vm192-168-8-27 zhangmingda]# systemctl restart sssd

[root@vm192-168-8-27 zhangmingda]# realm list

[root@vm192-168-8-27 zhangmingda]# realm list

zhihu.test.com

  type: kerberos

  realm-name: ZHIHU.TEST.COM

  domain-name: zhihu.test.com

  configured: kerberos-member

  server-software: active-directory

  client-software: sssd

  required-package: oddjob

  required-package: oddjob-mkhomedir

  required-package: sssd

  required-package: adcli

  required-package: samba-common-tools

  login-formats: %U

  login-policy: allow-permitted-logins

  permitted-logins:

  permitted-groups: dev@zhihu.test.com, ops@zhihu.test.com

[root@vm192-168-8-27 zhangmingda]#

发现不加域信息,Linux服务器也可以识别域用户

[root@vm192-168-8-27 zhangmingda]# id zhangmingda

uid=1724201104(zhangmingda) gid=1724200513(domain users) groups=1724200513(domain users)

[root@vm192-168-8-27 zhangmingda]#

使用域用户ssh登录服务器

[root@vm192-168-8-27 zhangmingda]# ssh zhangmingda@192.168.8.27

zhangmingda@192.168.8.27's password:

Last login: Tue Nov 17 13:07:03 2020 from 192.168.8.27

[zhangmingda@vm192-168-8-27 ~]$ ls

[zhangmingda@vm192-168-8-27 ~]$  sudo su - root  

We trust you have received the usual lecture from the local System

Administrator. It usually boils down to these three things:

    #1) Respect the privacy of others.

    #2) Think before you type.

    #3) With great power comes great responsibility.

[sudo] password for zhangmingda:

zhangmingda is not in the sudoers file.  This incident will be reported.

[zhangmingda@vm192-168-8-27 ~]$

编辑 /etc/sudoers.d/waagent 文件,将需要root权限的用户加入到其下

[zhangmingda@vm192-168-8-27 ~]$ sudo cat /etc/sudoers.d/waagent

ltsstone ALL=(ALL) ALL

zhangmingda ALL=(ALL) ALL

[zhangmingda@vm192-168-8-27 ~]$
[zhangmingda@vm192-168-8-27 ~]$ sudo su - root

Last login: Tue Nov 17 14:28:41 CST 2020 on pts/1

[root@vm192-168-8-27 ~]#

linux服务器加入AD域(sssd)~ 通过域用户ssh登录加域的linux服务器的更多相关文章

  1. Linux—禁止用户SSH登录方法总结

    Linux-禁止用户SSH登录方法总结 一.禁止用户登录 1.修改用户配置文件/etc/shadow       将第二栏设置为"*",如下.那么该用户就无法登录.但是使用这种方式 ...

  2. Linux小技巧1:如何关闭Root用户SSH登陆

    新建用户 >useradd nonroot //新建用户 >passwd nonroot //创建/修改nonroot用户密码 >vim /etc/ssh/sshd_config 将 ...

  3. Windows Server 2016-Netdom Join加域并指定OU (一)

    前边我们提到了客户端如何通过图形化.netdom .Powershell方式加域,这里我们简单补充下生产环境中如何通过有权限的用户账号加域并指定对应的OU,以防止域策略下发对部分生产服务器权限等内容进 ...

  4. Windows Server 2016-图形化之客户端加域(一)

    要使用域环境,您必须将计算机加入域.只有加入域的计算机才能使用域资源.在连接期间,将在域中创建一个计算机帐户,以便将计算机作为成员进行身份验证.前边两节我们写到Windows Server 2016- ...

  5. Linux 禁止用户或 IP通过 SSH 登录

             一切都是为了安全,做到来着可知! 限制用户 SSH 登录 1.只允许指定用户进行登录(白名单): 在 /etc/ssh/sshd_config 配置文件中设置 AllowUsers ...

  6. SSH 学习记录及在SSH模式下使用XShell连接服务器

    传统的网络服务程序,如rsh.FTP.POP和Telnet其本质上都是不安全的:因为它们在网络上用明文传送数据.用户帐号和用户口令,很容易受到中间人(man-in-the-middle)攻击方式的攻击 ...

  7. linux ubuntu 远程ssh登录

    当我们有一个Linux系统的时候,可能用到远程ssh登录,当你是没有界面的系统的时候也会用到,远程操作起来比较方便. 首先我们的电脑默认是不安装ssh的,就是无法通过ssh远程连接,所以要安装shh. ...

  8. .net core在Linux下获取AD域信息

    .net core在Linux下获取AD域信息 .net Core 2.1.4 .net core现在System.DirectoryServices只支持Windows平台下使用. 参考: http ...

  9. Citrix 服务器虚拟化之二 Xenserver加域管理

    Citrix 服务器虚拟化之二   Xenserver加域管理 如果要使用多个用户和用户组来管理XenServer服务器,就必须使用 Active Directory 用户账户进行身份验证.XenSe ...

随机推荐

  1. 链式调用Builder

    使用Lombok实现链式调用 1.静态调用 User对象: 对象中必须有一个值不为空staticname作为指定的参数并调用对象 @Accessors(chain = true) @Getter @S ...

  2. 一些 tips

    在本博客中,一般写题解的题都是我认为比较有价值的题,然而我还做过一些有一定价值,但并没有达到值得写一篇题解的程度,故将这些题目总结出的套路用一句话概括在这里: 当然如果看到我太久不更请在评论区里催我一 ...

  3. [FJ2021]D2T3题解

    考试的时候一点思路没有,最近听福州的神仙的一些做法. 想自己推一下. 题目大概是这样的 \(a_i = \frac{i\ *\ a_{i - 1} \ + \ i\ * \ (i\ -\ 1)\ * ...

  4. 自然溢出哈希 hack 方法

    今天不知道在什么地方看到这个东西,感觉挺有意思的,故作文以记之( 当 \(base\) 为偶数时,随便造一个长度 \(>64\) 的字符串,只要它们后 \(64\) 位相同那么俩字符串的哈希值就 ...

  5. Godunov's 定理

    Godunov's theorem 转自Wiki 目录 Godunov's theorem 简介 定理 定理1. 单调保持性(Monotonicity preserving) 定理2. Godunov ...

  6. Zabbix源码安装,使用service命令管理zabbix进程

    1.       前期环境: Zabbix源代码解压包:/root/zabbix-3.0.27 Zabbix安装路径:/usr/local/zabbix-3.0.27 2.       复制启动脚本到 ...

  7. R语言hist重叠图作法

    set.seed(1) h1<-hist(rnorm(1000,100,5)) h2<-hist(rnorm(1000,99,5)) plot(h2,col=rgb(255,0,0,50, ...

  8. mysql 分组统计、排序、取前N条记录解决方案

    需要在mysql中解决记录的分组统计.排序,并抽取前10条记录的功能.现已解决,解决方案如下: 1)表结构 CREATE TABLE `policy_keywords_rel` ( `id` int( ...

  9. SM 国密算法踩坑指南

    各位,好久不见~ 最近接手网联的国密改造项目,由于对国密算法比较陌生,前期碰到了一系列国密算法加解密的问题. 所以这次总结一下,分享这个过程遇到的问题,希望帮到大家. 国密 什么是国密算法? 国密就是 ...

  10. 学习java 7.9

    学习内容: Date类 Date类常用方法 SimpleDateFormat 1.格式化(从Date到String) public final String format(Date date) 将日期 ...