检查确认

使用以下命令验证连接：

# id user@domain.example.com
# ssh user@domain.example.com

这些命令的示例如下所示。

# id user@ad.example.com
uid=1348601103(user@ad.example.com) gid=1348600513(domain users@ad.example.com) groups=1348600513(domain users@ad.example.com)

# ssh user@ad.example.com@127.0.0.1
user@ad.example.com@127.0.0.1's password:
Creating home directory for user@ad.example.com.
$ pwd
/home/ad.example.com/user

什么是realmd？

Realmd 提供了一种发现和加入身份域的简单方法。
它配置 sssd 或者 winbind 等 Linux 系统服务来执行实际的网络身份验证和用户帐户查找。
随着 CentOS/RHEL 7 的发布，realmd 得到全面支持，可用于加入 IdM、AD 或者 Kerberos 领域。
使用realmd 的主要优点是能够提供简单的单行命令来注册到域以及配置网络身份验证。

例如，使用realmd 可以轻松配置：

• PAM Stack
• NSS Layer
• Kerberos
• SSSD
• Winbind

使用 reald 将 CentOS/RHEL 7 配置为 Active Directory 客户端

按照下面概述的步骤使用 Realmd 配置 Linux 客户端以连接到 Active Directory (AD) 域。

1. 安装所需的软件包以配置 AD 客户端。

# yum install realmd oddjob oddjob-mkhomedir sssd adcli openldap-clients policycoreutils-python samba-common samba-common-tools krb5-workstation

我们可以使用 list 子命令来确保我们当前不是域的一部分：

# realm list

输出应该是空白的。
现在，我们已准备好进行下一步发现和加入域。

2. 发现活动目录 doamin 并使用以下命令加入。

# realm discover ad.example.com
ad.example.com
type: kerberos
realm-name: AD.EXAMPLE.COM
domain-name: ad.example.com
configured: no
server-software: active-directory
client-software: sssd
required-package: oddjob
required-package: oddjob-mkhomedir
required-package: sssd
required-package: adcli
required-package: samba-common-tools

# realm join ad.example.com
Password for Administrator:
realm: Joined ad.example.com domain

3. 验证 kerberose 配置文件 /etc/krb5.conf 以包括：

# cat /etc/krb5.conf
# Configuration snippets may be placed in this directory as well
includedir /etc/krb5.conf.d/
[logging]
 default = FILE:/var/log/krb5libs.log
 kdc = FILE:/var/log/krb5kdc.log
 admin_server = FILE:/var/log/kadmind.log
[libdefaults]
 default = DOMAIN.EXAMPLE.COM
 dns_lookup_realm = true
 dns_lookup_kdc=true
 ticket_lifetime = 24h
 renew_lifetime = 7d
 forwardable = true
 rdns = false
 default_ccache_name = KEYRING:persistent:%{uid}
default_realm = DOMAIN.EXAMPLE.COM
default_ccache_name = KEYRING:persistent:%{uid}
[realms]
  AD.EXAMPLE.COM = {
   kdc = [hostname_of_server].domain.example.com:88
   admin_server = domain.example.com
}
[domain_realm]
 .domain.example.com = DOMAIN.EXAMPLE.COM
 domain.example.com = DOMAIN.EXAMPLE.COM

4. 验证 /etc/sssd/sssd.conf 是否包含以下条目。

# cat /etc/sssd/sssd.conf
[sssd]
domains = domain.example.com
config_file_version = 2
services = nss, pam
[domain/domain.example.com]
ad_server = domain.example.com
ad_domain = domain.example.com
krb5_realm = DOMAIN.EXAMPLE.COM
realmd_tags = manages-system joined-with-adcli
cache_credentials = True
id_provider = ad
krb5_store_password_if_offline = True
default_shell = /bin/bash
ldap_id_mapping = True
use_fully_qualified_names = True
fallback_homedir = /home/%u@%d
access_provider = ad
enumeration = True

5. 为 sssd.conf 分配适当的权限。

# chown root:root /etc/sssd/sssd.conf
# chmod 0600 /etc/sssd/sssd.conf
# restorecon /etc/sssd/sssd.conf
# authconfig --enablesssd --enablesssdauth --enablemkhomedir --update
# systemctl start sssd

如何将 CentOS/RHEL 7 配置为 Active Directory 客户端？