Você está na página 1de 2

Integrando CENTOS 6 ao Active Directory

Instalar o repositório Epel


yum -y install epel-release

Instalar o adcli + samba + ssd + kerberus


yum -y install ntpdate adcli samba-common oddjob-mkhomedir oddjob samba-winbind-
clients samba-winbind sssd pam_krb5 authconfig

Definir a DNS do ad como unico servidor de DNS


echo "nameserver IP_DO_DNS_INTERNO" > /etc/resolv.conf

travar o arquivo resolv.conf e impedir futuras modificações.


chattr +i /etc/resolv.conf

Atualizar o relógio do computador.


ntpdate -u -s 0.centos.pool.ntp.org 1.centos.pool.ntp.org 2.centos.pool.ntp.org

Ajustando o ambiente para a autenticação via kerberos


authconfig --enablekrb5 --krb5kdc=seudominio.local
--krb5adminserver=seudominio.local --krb5realm=SEUDOMINIO.LOCAL --enablesssd
--enablesssdauth --update

Checar se o servidor coleta as informações do AD para ingresso.


ps: Substituia SEUDOMINIO.LOCAL pelo nome do seu dominio.
adcli info SEUDOMINIO.LOCAL

Ingressar no AD com um usuario com poderes de administrador ou o próprio


administrador
ps: Substituia SEUDOMINIO.LOCAL pelo nome do seu dominio e
USUARIO_ADMINISRTADOR pelo usuario com poderes de admin no AD.
adcli join SEUDOMINIO.LOCAL -U USUARIO_ADMINISRTADOR

Criar o arquivo /etc/sssd/sssd.conf e inserir o conteúdo abaixo. Se o arquivo


existir, limpe-o e insira o conteúdo abaixo.
ps: Substituia SEUDOMINIO.LOCAL pelo nome do seu dominio.

[sssd]
domains = seudominio.local
config_file_version = 2
services = nss, pam

[domain/seudominio.local]
ad_domain = seudominio.local
krb5_realm = SEUDOMINIO.LOCAL
realmd_tags = manages-system joined-with-samba
cache_credentials = True
id_provider = ad
krb5_store_password_if_offline = True
default_shell = /bin/bash
ldap_id_mapping = True
use_fully_qualified_names = False
fallback_homedir = /home/%d/%u
access_provider = ad

Redefinir as permissões do arquivo /etc/sssd/sssd.conf


chmod 600 /etc/sssd/sssd.conf

Ajustar as permissões nos arquivos /etc/pam.d/system-auth e /etc/pam.d/sshd


echo "session optional pam_mkhomedir.so skel=/etc/skel umask=077" >>
/etc/pam.d/system-auth
echo "session required pam_mkhomedir.so skel=/etc/skel/ umask=0022" >>
/etc/pam.d/sshd

Reiniciar os serviços e configurar o sistema para iniciar os serviços na


inicialização do S.O
service sssd start && chkconfig sssd on && service winbind start && chkconfig
winbind on

No seu AD, crie um grupo, ex: ssh_users (preste atenção nas maiusculas e
minusculas, aqui tudo é case sensitive)
Insira no grupo s usuários com permissões de acesso via ssh.

No linux, Editar (ou inserir) as duas linhas abaixo no arquivo


/etc/ssh/sshd_config (Adicione os grupos que poderão acessar via ssh, aqui
permiremos dois grupos, o grupo do AD ssh_users e o grupo users do linux)
AllowGroups users ssh_users

Inserir a linha abaixo no arquivo /etc/sudoers E os usuários do grupo ssh_users


poderão executar sudo su e virar administrador dentro do linux
%ssh_users ALL=(ALL) ALL

Inserir o usuário root no grup users em /etc/group caso queira ainda permitir
que o root acesse via ssh. Caso tenha mais usuarios locais fora do ad que queira
permitir o acesso via ssh, adicione aqui após o root (separados por virgula e sem
espaço, ex: root,user1,user2

users:x:100:root

reiniciar o sshd
service sshd restart

E pronto.