Вики IT-KB

Пошаговые руководства, шпаргалки, полезные ссылки...

Инструменты пользователя

Инструменты сайта


unix-linux:debian:stretch:join-debian-linux-9-stretch-to-active-directory-domain-with-sssd-realmd-with-ad-security-group-authorization-in-pam-for-console-login-and-ssh-sso-putty-and-apache-kerberos-auth

Различия

Показаны различия между двумя версиями страницы.

Ссылка на это сравнение

Предыдущая версия справа и слеваПредыдущая версия
Следующая версия
Предыдущая версия
unix-linux:debian:stretch:join-debian-linux-9-stretch-to-active-directory-domain-with-sssd-realmd-with-ad-security-group-authorization-in-pam-for-console-login-and-ssh-sso-putty-and-apache-kerberos-auth [25.06.2019 10:04] – [Apache и PAM с Kerberos] Алексей Максимовunix-linux:debian:stretch:join-debian-linux-9-stretch-to-active-directory-domain-with-sssd-realmd-with-ad-security-group-authorization-in-pam-for-console-login-and-ssh-sso-putty-and-apache-kerberos-auth [14.03.2024 13:08] (текущий) – [SUDO] Алексей Максимов
Строка 1: Строка 1:
-===== Подключение Debian GNU/Linux 9 Stretch к домену Active Directory с помощью SSSD/realmd и настройка PAM для аутентификации и авторизации sshd/Apache =====+===== Подключение Debian GNU/Linux 9 (Stretchк домену Active Directory с помощью SSSD/realmd и настройка PAM для аутентификации и авторизации sshd/Apache =====
  
 {{:unix-linux:debian:stretch:pasted:20190625-091314.png }} Подробное описание процедуры присоединения компьютера с **Debian GNU**/**Linux** к домену **Active Directory** с помощью **SSSD** и **realmd** можно найти [[https://blog.it-kb.ru/2016/10/15/join-debian-gnu-linux-8-6-to-active-directory-domain-with-sssd-and-realmd-for-authentication-and-configure-ad-domain-security-group-authorization-for-sudo-and-ssh-with-putty-sso/|здесь]]. Рекомендуется предварительно ознакомится с этим материалом, а также с [[https://blog.it-kb.ru/2017/11/18/recommendations-for-configuring-sssd-in-debian-gnu-linux-about-dns-kerberos-and-active-directory-dc-search/|замечаниями по настройке SSSD в Debian GNU/Linux]]. {{:unix-linux:debian:stretch:pasted:20190625-091314.png }} Подробное описание процедуры присоединения компьютера с **Debian GNU**/**Linux** к домену **Active Directory** с помощью **SSSD** и **realmd** можно найти [[https://blog.it-kb.ru/2016/10/15/join-debian-gnu-linux-8-6-to-active-directory-domain-with-sssd-and-realmd-for-authentication-and-configure-ad-domain-security-group-authorization-for-sudo-and-ssh-with-putty-sso/|здесь]]. Рекомендуется предварительно ознакомится с этим материалом, а также с [[https://blog.it-kb.ru/2017/11/18/recommendations-for-configuring-sssd-in-debian-gnu-linux-about-dns-kerberos-and-active-directory-dc-search/|замечаниями по настройке SSSD в Debian GNU/Linux]].
  
-Здесь приведён сокращённый план действий по присоединению Debian GNU/Linux 9 к домену Active Directory с помощью SSSD и realmd.+Здесь приведён сокращённый план действий по присоединению **Debian GNU**/**Linux 9** (**Stretch**) к домену **Active Directory** с помощью **SSSD** и **realmd**.
  
  
Строка 9: Строка 9:
 ==== Подготовка ==== ==== Подготовка ====
  
-Обеспечиваем правильную работу **DNS**-клиента и обсепечиваем __синхронизацию времени__ с источниками, используемыми в **Active Directory** (подробности в ранее обозначенных ссылках). Эти моменты важны для правильной работы протокола **Kerberos**.+Обеспечиваем правильную работу **DNS**-клиента и обеспечиваем __синхронизацию времени__ с источниками, используемыми в **Active Directory** (подробности в ранее обозначенных ссылках). Эти моменты важны для правильной работы протокола **Kerberos**.
  
-Выполняем команду присвоения полного доменного имени в качестве имени хоста, так как по умолчанию в **Debian 9** в качестве **hostname** используется просто имя узла без доменной части.+Выполняем команду присвоения полного доменного имени в качестве имени хоста, так как по умолчанию в **Debian 9** в качестве **hostname** используется имя узла без доменной части.
 Это позволит избежать некоторых проблем при вводе компьютера в домен с помощью **realmd**:  Это позволит избежать некоторых проблем при вводе компьютера в домен с помощью **realmd**: 
    
Строка 317: Строка 317:
 <HTML><pre style="background:#5a5a62;color:#ffffff;padding:10px;border:0px;"># chmod 0440 /etc/sudoers.d/kom-srv-linux-admins</pre></HTML> <HTML><pre style="background:#5a5a62;color:#ffffff;padding:10px;border:0px;"># chmod 0440 /etc/sudoers.d/kom-srv-linux-admins</pre></HTML>
  
 +В некоторых ситуациях при вызове **sudo** в контексте доменного пользователя может возникать длительная задержка при первом запросе на ввод пароля. В этом случае можно попробовать воспользоваться включением опции [[https://blog.it-kb.ru/2024/03/14/sudo-is-slow-when-using-sssd|ignore_group_members]] в секции описания домена в конфигурационном файле ''sssd.conf''  
  
 \\ \\
Строка 364: Строка 365:
 \\ \\
 ==== Apache и PAM с Kerberos ===== ==== Apache и PAM с Kerberos =====
 +
 +Более подробно описанный пример настройки можно найти в статье [[https://blog.it-kb.ru/2016/10/26/configuring-basic-and-kerberos-authentication-with-sso-single-sign-on-for-the-apache-web-server-using-sssd-and-pam-service-for-authorization/|Настройка Kerberos аутентификации с SSO на веб-сервере Apache с помощью SSSD]]
  
 Настраиваем конфигурацию **Apache** для поддержки аутентификации **Kerberos**  Настраиваем конфигурацию **Apache** для поддержки аутентификации **Kerberos** 
Строка 417: Строка 420:
 По завершении всех процедур настройки можно вернуть имя хоста в исходное состояние, "привычное" для Debain. По завершении всех процедур настройки можно вернуть имя хоста в исходное состояние, "привычное" для Debain.
  
-# hostname KOM-SRV01+<HTML><pre style="background:#5a5a62;color:#ffffff;padding:10px;border:0px;"># hostname KOM-SRV01</pre></HTML> 
 + 
 +После завершения настройки перезагружаем Linux-сервере, чтобы убедиться в успешном автоматическом запуске **SSSD** и последующей корректной работы аутентификации/авторизации на базе доменных учётных записей.
  
  
unix-linux/debian/stretch/join-debian-linux-9-stretch-to-active-directory-domain-with-sssd-realmd-with-ad-security-group-authorization-in-pam-for-console-login-and-ssh-sso-putty-and-apache-kerberos-auth.1561446267.txt.gz · Последнее изменение: 25.06.2019 10:04 — Алексей Максимов

Donate Powered by PHP Valid HTML5 Valid CSS Driven by DokuWiki