unix-linux:centos:join-centos-linux-7-4-to-active-directory-domain-with-sssd-and-realmd-for-authentication-and-configure-ad-domain-security-group-authorization-for-sudo-and-ssh-with-putty-sso
Различия
Показаны различия между двумя версиями страницы.
Предыдущая версия справа и слеваПредыдущая версияСледующая версия | Предыдущая версияПоследняя версияСледующая версия справа и слева | ||
unix-linux:centos:join-centos-linux-7-4-to-active-directory-domain-with-sssd-and-realmd-for-authentication-and-configure-ad-domain-security-group-authorization-for-sudo-and-ssh-with-putty-sso [22.03.2018 11:09] – [Настройка SSHD] Алексей Максимов | unix-linux:centos:join-centos-linux-7-4-to-active-directory-domain-with-sssd-and-realmd-for-authentication-and-configure-ad-domain-security-group-authorization-for-sudo-and-ssh-with-putty-sso [18.08.2018 21:28] – [Таблица] Алексей Максимов | ||
---|---|---|---|
Строка 1: | Строка 1: | ||
===== CentOS Linux 7.4 - Присоединение к домену Active Directory средствами realmd/SSSD и настройка аутентификации и авторизации через доменные группы безопасности ===== | ===== CentOS Linux 7.4 - Присоединение к домену Active Directory средствами realmd/SSSD и настройка аутентификации и авторизации через доменные группы безопасности ===== | ||
- | Процедура присоединения **Linux**-системы к домену **Active Directory** с помощью **SSSD** (**System Security Services Daemon**) и **RealmD** (**Realm Discovery**) подробно рассматривалась ранее [[https:// | + | {{: |
Данная статья является " | Данная статья является " | ||
Строка 199: | Строка 199: | ||
Как видим, работает. Осталось ограничить доступ на редактирование файла, в котором описаны правила предоставления доступа к **sudo**: | Как видим, работает. Осталось ограничить доступ на редактирование файла, в котором описаны правила предоставления доступа к **sudo**: | ||
- | < | + | < |
Строка 224: | Строка 224: | ||
==== Ограничение доступа к системе через PAM ==== | ==== Ограничение доступа к системе через PAM ==== | ||
- | Чтобы ограничить доступ к CentOS Linux 7 на базе доменных групп безопасности, | + | Чтобы ограничить доступ к **CentOS Linux 7** на базе доменных групп безопасности, |
- | # nano -Y sh / | + | < |
- | sudo | + | <file ini access-groups-to-login> |
root | root | ||
KOM-Linux-Admins@ad.holding.com | KOM-Linux-Admins@ad.holding.com | ||
+ | </ | ||
- | Обратите внимание на то, что настраивая ограничение локального взхода лучше не забыть добавить локальные группы root и sudo, иначе с дальнейшем вход в систему под локальными административными учётными записями может стать невозможен. | + | <WRAP center important 100%> |
+ | Обратите внимание на то, что настраивая ограничение локального входа лучше не забыть добавить локальные группы | ||
Ограничим доступ к файлу: | Ограничим доступ к файлу: | ||
- | chown root:root / | + | < |
- | chmod 600 / | + | # chmod 600 / |
+ | </ | ||
+ | Настроим в системном конфиге ''/ | ||
- | Настроим в системном конфиге | + | < |
+ | </ | ||
- | # nano -Y sh / | + | Вставляем перед строкой "'' |
- | Вставляем перед строкой " | + | <file bash login (фрагмент)># |
- | + | ||
- | # | + | |
# Restricted access to service from local and domain groups | # Restricted access to service from local and domain groups | ||
account required pam_listfile.so onerr=fail item=group sense=allow file=/ | account required pam_listfile.so onerr=fail item=group sense=allow file=/ | ||
- | # | + | #</ |
- | + | ||
- | Внимание! Невнимательное редактирование данного файла может привести в невозможности локального входа в систему, | + | |
- | Теперь попробуем подключиться | + | <WRAP center important 100%> |
- | В процессе проверки в отдельной | + | Внимание! Невнимательное редактирование данного файла может привести в невозможности локального входа |
+ | |||
- | # tail -f / | + | Теперь попробуем __подключиться на консоль__ нашей Linux-системы, |
+ | < | ||
- | Теперь аналогичным образом настроим в конфиге, | + | Теперь аналогичным образом настроим в конфиге, |
- | # nano -Y sh / | + | < |
- | Вставляем перед строкой " | + | Вставляем перед строкой "'' |
- | # | + | <file bash sshd (фрагмент)> |
# Restricted access to service from local and domain groups | # Restricted access to service from local and domain groups | ||
account required pam_listfile.so onerr=fail item=group sense=allow file=/ | account required pam_listfile.so onerr=fail item=group sense=allow file=/ | ||
- | # | + | #</ |
- | Внимание! Невнимательное редактирование данного файла может привести в невозможности входа в систему через SSH-сервер, | + | <WRAP center important 100%> |
+ | Внимание! Невнимательное редактирование данного файла может привести в невозможности входа в систему через SSH-сервер, | ||
+ | |||
- | Теперь попробуем удалённо подключиться к SSH-серверу нашей Linux-системы, | + | Теперь попробуем |
- | В процессе проверки в отдельной сессии запустим наблюдение за логом безопасности, | + | |
- | # tail -f / | + | < |
Если дополнительно требуется доменная аутентификация/ | Если дополнительно требуется доменная аутентификация/ | ||
Строка 281: | Строка 285: | ||
---- | ---- | ||
Проверено на следующих конфигурациях: | Проверено на следующих конфигурациях: | ||
- | ^ Версия ОС ^ | + | ^ Версия ОС |
- | |CentOS Linux release 7.4.1708 (Core) | | + | | CentOS Linux release 7.4.1708 (Core) |
+ | | CentOS Linux release 7.5.1804 (Core) | ||
---- | ---- | ||
{{: | {{: | ||
- | {{tag> | + | {{tag> |
~~DISCUSSION~~ | ~~DISCUSSION~~ |
unix-linux/centos/join-centos-linux-7-4-to-active-directory-domain-with-sssd-and-realmd-for-authentication-and-configure-ad-domain-security-group-authorization-for-sudo-and-ssh-with-putty-sso.txt · Последнее изменение: 18.08.2018 21:29 — Алексей Максимов