# yum install -y realmd sssd oddjob oddjob-mkhomedir adcli samba-common samba-common-tools
Подключаем к домену TESTLAB.LOCAL
# realm discover testlab.local
testlab.local
type: kerberos
realm-name: TESTLAB.LOCAL
domain-name: testlab.local
configured: no
server-software: active-directory
client-software: sssd
required-package: oddjob
required-package: oddjob-mkhomedir
required-package: sssd
required-package: adcli
required-package: samba-common-tools
# realm join -U administrator testlab.local
Password for administrator:
# realm discover testlab.local
testlab.local
type: kerberos
realm-name: TESTLAB.LOCAL
domain-name: testlab.local
configured: kerberos-member
server-software: active-directory
client-software: sssd
required-package: oddjob
required-package: oddjob-mkhomedir
required-package: sssd
required-package: adcli
required-package: samba-common-tools
login-formats: %U@testlab.local
login-policy: allow-realm-logins
Для использования только username (без домена) при авторизации исправляем файл /etc/sssd/sssd.conf:
# sudo vi /etc/sssd/sssd.conf
use_fully_qualified_names = False
Разрешаем доменным пользователям создавать домашние директории:
# authconfig --enablemkhomedir --enablesssdauth --update
Включаем и перезапускаем службу sssd
# systemctl enable sssd.service && systemctl restart sssd
Ограничиваем доступ по группам и пользователям домена
# mcedit /etc/sssd/sssd.conf
access_provider = simple
simple_allow_users = user1@testlab.local
simple_allow_groups = linux_admins@testlab.local
#systemctl restart sssd
Ограничиваем доступ к правам sudo:
# vi /etc/sudoers
%LinuxSudoers ALL=(ALL:ALL) ALL
Для кеширование паролей паролей и прочим ништякам из безопасности изменяем файл /etc/sssd/sssd.conf:
[domain/testlab.local]
cache_credentials = true
[pam]
offline_credentials_expiration = 7 #days
offline_failed_login_attempts = 3
offline_failed_login_delay = 5