Wenn man, wie bei vielen Arbeitsplätzen schon vorhanden, eine Nutzerauthentifizierung über Active Directory hat, wäre es doch schön, sich auch bei Linux-Rechnern über die AD authentifizieren zu können.
yum install realmd oddjob oddjob-mkhomedir sssd ntpdate
Bei einer Domänenanmeldung ist es wichtig, dass die Zeiten übereinstimmen.
Ob die sychronisierung jetzt mit ntp oder chrony stattfindet, ist eigentlich völlig egal. Hier die chrony-Variante
systemctl stop chrony ntpdate <NTP-Server> (Meist AD-Server) sytemctl enable chrony systemctl start chrony
Zeitgleichheit sieht man über die Übersicht chronyc sources
realm join --computer-ou=OU=Linuxrechner,DC=<domain> --user=<username>@<domain> <domain>
Der User sollte berechtigt sein, Rechner in die Domäne aufzunehmen (Domänenadmin)
Wenn die anbidung funktiert hat, kann man sich mit dem Befehl realm list
alle einstellungen lassen.
Ab sofort kann man sich per SSH auf dem Rechner mit seinem Domänen-Namen anmelden:
Format: <username>@<domain>
Um nicht bei jeder SSH-Anmeldung <username>@<domain> angeben zu müssen, emfiehlt es sich, die Domäne automisch hinzufügen zu lassen
In der Datei /etc/sssd/sssd.conf
im Globalen Teil folgendes eintragen
[sssd] ... default_domain_suffix = USERS.EXAMPLE.COM
Um alle Änderungen am SSSD zu übernehmen, muss der Dienst jetzt noch neugestartet werden
systemctl restart sssd
Wenn sich nur eine Bestimmete Person oder Gruppe per AD authentifizieren darf, kann man dies einschränken
In der Datei /etc/sssd/sssd.conf
im Domänen-Teil folgendes eintragen
[domain/Domain] ... access_provider = simple simple_allow_users = <username1>,<username2> simple_allow_groups = <Gruppenname>
die User- und Gruppennamen findet man heraus, indem man sich diese mit id <username | sed -e 's/,/\n/g'
anzeigen lässt.
Um alle Änderungen am SSSD zu übernehmen, muss der Dienst jetzt noch neugestartet werden
systemctl restart sssd
Nicht immer soll eine sssd-Verbindung von bestand bleiben. \ Um den Rechner wieder aus der Domäne zu bekommen, empfiehlt sich der folgende Weg
realm leave --user=<username>@<domain> <domain>
Loglevel erhöhen
LogLevel DEBUG1
SSH neu starten und unter /var/log/secure
den Fehler identifizieren