Различия

Показаны различия между двумя версиями страницы.

--- unix-linux:centos:join-centos-linux-7-4-to-active-directory-domain-with-sssd-and-realmd-for-authentication-and-configure-ad-domain-security-group-authorization-for-sudo-and-ssh-with-putty-sso [22.03.2018 08:08] – [Доступ к SUDO] Алексей Максимов
+++ unix-linux:centos:join-centos-linux-7-4-to-active-directory-domain-with-sssd-and-realmd-for-authentication-and-configure-ad-domain-security-group-authorization-for-sudo-and-ssh-with-putty-sso [18.08.2018 18:29] (текущий) – [CentOS Linux 7.4 - Присоединение к домену Active Directory средствами realmd/SSSD и настройка аутентификации и авторизации через доменные группы безопасности] Алексей Максимов
@@ Строка 1: / Строка 1: @@
-===== CentOS Linux 7.4 - Присоединение к домену Active Directory средствами realmd/SSSD и настройка аутентификации и авторизации через доменные группы безопасности =====
+===== CentOS Linux 7 - Присоединение к домену Active Directory средствами realmd/SSSD и настройка аутентификации и авторизации через доменные группы безопасности =====
-Процедура присоединения **Linux**-системы к домену **Active Directory** с помощью **SSSD** (**System Security Services Daemon**) и **RealmD** (**Realm Discovery**) подробно рассматривалась ранее [[https://blog.it-kb.ru/2016/10/15/join-debian-gnu-linux-8-6-to-active-directory-domain-with-sssd-and-realmd-for-authentication-and-configure-ad-domain-security-group-authorization-for-sudo-and-ssh-with-putty-sso/|на примере Debian GNU/Linux 8.6]].
+{{:unix-linux:centos:pasted:20180322-112123.png }} Процедура присоединения **Linux**-системы к домену **Active Directory** с помощью **SSSD** (**System Security Services Daemon**) и **RealmD** (**Realm Discovery**) подробно рассматривалась ранее [[https://blog.it-kb.ru/2016/10/15/join-debian-gnu-linux-8-6-to-active-directory-domain-with-sssd-and-realmd-for-authentication-and-configure-ad-domain-security-group-authorization-for-sudo-and-ssh-with-putty-sso/|на примере Debian GNU/Linux 8.6]].
 Данная статья является "выжимкой" основных этапов присоединения к домену Active Directory для системы на базе **CentOS Linux 7.4**.
@@ Строка 199: / Строка 199: @@
 Как видим, работает. Осталось ограничить доступ на редактирование файла, в котором описаны правила предоставления доступа к **sudo**:
-<HTML><pre style="background:#5a5a62;color:#ffffff;padding:10px;border:0px;"># chmod 0440 /etc/sudoers.d/kom-srv-linux-admins</pre></HTML>
+<HTML><pre style="background:#5a5a62;color:#ffffff;padding:10px;border:0px;"># chmod 0440 /etc/sudoers.d/kom-linux-admins</pre></HTML>
@@ Строка 205: / Строка 205: @@
 ==== Настройка SSHD ====
-Насстроим службу сервера sshd для того, чтобы можно было использовать SSO-подключение.
+Насстроим службу **sshd** для того, чтобы можно было использовать **SSO**-подключение.
-# nano -Y sh /etc/ssh/sshd_config
+<HTML><pre style="background:#5a5a62;color:#ffffff;padding:10px;border:0px;"># nano -Y sh /etc/ssh/sshd_config</pre></HTML>
 Включим опции конфигурационного файла:
+<file bash sshd_config (фрагмент)>...
 GSSAPIAuthentication yes
 GSSAPICleanupCredentials yes
+...
+</file>
 Перезапустим службу:
-# systemctl restart sshd
+<HTML><pre style="background:#5a5a62;color:#ffffff;padding:10px;border:0px;"># systemctl restart sshd</pre></HTML>
@@ Строка 222: / Строка 224: @@
 ==== Ограничение доступа к системе через PAM ====
-Чтобы ограничить доступ к CentOS Linux 7 на базе доменных групп безопасности, создадим новый конфигурационный файл, в котором будут перечислены группы (как локальные так и доменные), которым нужно обеспечить вход в систему:
+Чтобы ограничить доступ к **CentOS Linux 7** на базе доменных групп безопасности, создадим новый конфигурационный файл, в котором будут перечислены группы (как локальные так и доменные), которым нужно обеспечить вход в систему:
-# nano -Y sh /etc/security/access-groups-to-login
+<HTML><pre style="background:#5a5a62;color:#ffffff;padding:10px;border:0px;"># nano -Y sh /etc/security/access-groups-to-login</pre></HTML>
-sudo
+<file ini access-groups-to-login>sudo
 root
 KOM-Linux-Admins@ad.holding.com
+</file>
-Обратите внимание на то, что настраивая ограничение локального взхода лучше не забыть добавить локальные группы root и sudo, иначе с дальнейшем вход в систему под локальными административными учётными записями может стать невозможен.
+<WRAP center important 100%>
+Обратите внимание на то, что настраивая ограничение локального входа лучше не забыть добавить локальные группы **root** и **sudo**, иначе с дальнейшем вход в систему под локальными административными учётными записями может стать невозможен.</WRAP>
 Ограничим доступ к файлу:
-chown root:root /etc/security/access-groups-to-login
+<HTML><pre style="background:#5a5a62;color:#ffffff;padding:10px;border:0px;"># chown root:root /etc/security/access-groups-to-login
-chmod 600 /etc/security/access-groups-to-login
+# chmod 600 /etc/security/access-groups-to-login
+</pre></HTML>
+Настроим в системном конфиге ''/etc/pam.d/login'' правила **PAM** таким образом, чтобы в ходе авторизации при локальном входе на консоль нашей Linux-системы использдвался созданный нами выше файл со списком разрешённых групп:
-Настроим в системном конфиге /etc/pam.d/login правила PAM таким образом, чтобы в ходе авторизации при локальном входе на консоль нашей Linux-системы использдвался созданный нами выше файл со списком разрешённых групп:
+<HTML><pre style="background:#5a5a62;color:#ffffff;padding:10px;border:0px;"># nano -Y sh /etc/pam.d/login
+</pre></HTML>
-# nano -Y sh /etc/pam.d/login
-Вставляем перед строкой "account    include      system-auth" вызов проверки нашего файла с группами:
+Вставляем перед строкой "''account    include      system-auth''" вызов проверки нашего файла с группами:
-#
+<file bash login (фрагмент)>#
 # Restricted access to service from local and domain groups
 account required pam_listfile.so onerr=fail item=group sense=allow file=/etc/security/access-groups-to-login
-#
+#</file>
-Внимание! Невнимательное редактирование данного файла может привести в невозможности локального входа в систему, поэтому в ходе дальнейших проверок не закрывайте текущую сесиию, чтобы была возможность исправить возможные ошибки.
-Теперь попробуем подключиться на консоль нашей Linux-системы, используя доменные учётные записи (те, которым разрешен вход через группу безопасности и те, которым не разрешён вход).
+<WRAP center important 100%>
-В процессе проверки в отдельной сессии запустим наблюдение за логом безопасности, чтобы видеть то, что происходит в ходе авторизации для разрешённых и неразрешённых для входа пользователей.
+Внимание! Невнимательное редактирование данного файла может привести в невозможности локального входа в систему, поэтому в ходе дальнейших проверок не закрывайте текущую сесиию, чтобы была возможность исправить возможные ошибки.</WRAP>
-# tail -f /var/log/secure
+Теперь попробуем __подключиться на консоль__ нашей Linux-системы, используя доменные учётные записи (те, которым разрешен вход через группу безопасности и те, которым не разрешён вход). В процессе проверки в отдельной сессии запустим наблюдение за логом безопасности, чтобы видеть то, что происходит в ходе авторизации для разрешённых и неразрешённых для входа пользователей.
+<HTML><pre style="background:#5a5a62;color:#ffffff;padding:10px;border:0px;"># tail -f /var/log/secure</pre></HTML>
-Теперь аналогичным образом настроим в конфиге, относящемся к обработке авторизации в SSHD (/etc/pam.d/sshd) правила PAM таким образом, чтобы в ходе авторизации при удалённом входе через SSH-сервер использовался созданный нами выше файл со списком разрешённых групп (в нашем примере используется тот же файл, что и для локального входа, хотя это могут быть разные файлы и группы доступа):
+Теперь аналогичным образом настроим в конфиге, относящемся к обработке авторизации в **SSHD** (''/etc/pam.d/sshd'') правила **PAM** таким образом, чтобы в ходе авторизации при удалённом входе через SSH-сервер использовался созданный нами выше файл со списком разрешённых групп (в нашем примере используется тот же файл, что и для локального входа, хотя это могут быть разные файлы и группы доступа):
-# nano -Y sh /etc/pam.d/sshd
+<HTML><pre style="background:#5a5a62;color:#ffffff;padding:10px;border:0px;"># nano -Y sh /etc/pam.d/sshd</pre></HTML>
-Вставляем перед строкой "account    include      password-auth" вызов проверки нашего файла с группами:
+Вставляем перед строкой "''account    include      password-auth''" вызов проверки нашего файла с группами:
-#
+<file bash sshd (фрагмент)>#
 # Restricted access to service from local and domain groups
 account required pam_listfile.so onerr=fail item=group sense=allow file=/etc/security/access-groups-to-login
-#
+#</file>
-Внимание! Невнимательное редактирование данного файла может привести в невозможности входа в систему через SSH-сервер, поэтому в ходе дальнейших проверок не закрывайте текущую сесиию, чтобы была возможность исправить возможные ошибки.
+<WRAP center important 100%>
+Внимание! Невнимательное редактирование данного файла может привести в невозможности входа в систему через SSH-сервер, поэтому в ходе дальнейших проверок не закрывайте текущую сесиию, чтобы была возможность исправить возможные ошибки</WRAP>
-Теперь попробуем удалённо подключиться к SSH-серверу нашей Linux-системы, используя доменные учётные записи (те, которым разрешен вход через группу безопасности и те, которым не разрешён вход).
+Теперь попробуем __удалённо подключиться__ к **SSH**-серверу нашей Linux-системы, используя доменные учётные записи (те, которым разрешен вход через группу безопасности и те, которым не разрешён вход). В процессе проверки в отдельной сессии запустим наблюдение за логом безопасности, чтобы видеть то, что происходит в ходе авторизации для разрешённых и неразрешённых для входа пользователей.
-В процессе проверки в отдельной сессии запустим наблюдение за логом безопасности, чтобы видеть то, что происходит в ходе авторизации для разрешённых и неразрешённых для входа пользователей.
-# tail -f /var/log/secure
+<HTML><pre style="background:#5a5a62;color:#ffffff;padding:10px;border:0px;"># tail -f /var/log/secure</pre></HTML>
 Если дополнительно требуется доменная аутентификация/авторизация в других сервисах CentOS Linux, например в веб-сервере Apache то, в качестве примера можно использовать статью [[https://blog.it-kb.ru/2016/10/26/configuring-basic-and-kerberos-authentication-with-sso-single-sign-on-for-the-apache-web-server-using-sssd-and-pam-service-for-authorization/|Настройка Kerberos аутентификации с SSO на веб-сервере Apache с помощью SSSD]]
@@ Строка 279: / Строка 285: @@
 ----
 Проверено на следующих конфигурациях:
-^ Версия ОС  ^
+^ Версия ОС                             ^
-|CentOS Linux release 7.4.1708 (Core) |
+| CentOS Linux release 7.4.1708 (Core)  |
+| CentOS Linux release 7.5.1804 (Core)  |
 ----
 {{:user:blogroot.png?50&nolink |}} Автор первичной редакции:\\ [[user:blogroot|Алексей Максимов]] \\ Время публикации: 22.03.2018 10:34
-{{tag>Linux CentOS "CentOS 7" Security "Active Directory" SSSD RealmD}}
+{{tag>Linux CentOS "CentOS 7" Security "Active Directory" SSSD RealmD PAM NSS sudo Kerberos SSH sshd}}
 ~~DISCUSSION~~