O método de autenticação System Security Services Daemon (SSSD) é uma das soluções com suporte para realizar uma associação offline de domínio em uma máquina virtual (VM) Linux clonada instantaneamente.

A autenticação do System Security Services Daemon (SSSD) é compatível com a associação offline de domínio com o Active Directory para áreas de trabalho de clonagem instantânea que executam as seguintes distribuições Linux.

  • Ubuntu 20.04/22.04
  • Debian 10.x/11.x
  • RHEL 7.9/8.x/9.x
  • Rocky Linux 8.x/9.x
  • CentOS 7.9
  • SLED/SLES 15.x

Use as diretrizes descritas no procedimento a seguir para ingressar no domínio offline de uma VM Linux clonada instantaneamente para Active Directory (AD) usando a autenticação SSSD.

Procedimento

  1. Na VM Linux golden-image, realize o ingresso no domínio usando a autenticação SSSD. Certifique-se de que a golden image use o mesmo domínio que os clones instantâneos.
    Para obter instruções detalhadas sobre como ingressar no domínio, consulte a documentação da sua distribuição do Linux.
    • (Ubuntu) Vá para https://ubuntu.com/server/docs e procure informações relacionadas ao SSSD e ao Active Directory.
    • (RHEL/CentOS) Acesse o portal do cliente Red Hat e localize a página de documentação da sua versão de lançamento. Por exemplo, você pode encontrar a documentação em inglês em https://access.redhat.com/documentation/en-us/red_hat_enterprise_linux/.
      • Para o RHEL 9.x, localize o documento "Configurando autenticação e autorização no RHEL" e procure informações relacionadas ao SSSD.
      • Para o RHEL 8.x, localize o documento "Integrando sistemas RHEL diretamente com Windows Active Directory" e procure informações relacionadas à conexão de sistemas RHEL diretamente ao AD usando o SSSD.
      • Para o RHEL/CentOS 7.x, localize o "Windows Guia de Integração" e procure informações relacionadas à descoberta e ingresso em domínios de identidade.
    • (Rocky Linux) Acesse o portal de documentação do Rocky Linux em https://docs.rockylinux.org/ e procure informações relacionadas ao SSSD.
    • (SLED/SLES) Acesse o portal de documentação do SUSE em https://documentation.suse.com/ e procure informações relacionadas à integração de ambientes Linux e Active Directory.
  2. Instale as bibliotecas de suporte do krb5.
    • (Ubuntu) Execute o seguinte comando.
      sudo apt-get install krb5-user
    • (RHEL/CentOS e Rocky Linux) Execute o seguinte comando.
      sudo yum install krb5-workstation
    • (SLED/SLES) Execute a seguinte sequência de comandos.
      sudo zypper install krb5-client
      sudo ln -s /usr/lib/mit/bin/ktutil /usr/bin/ktutil
      sudo ln -s /usr/lib/mit/bin/kvno /usr/bin/kvno
  3. Instale o Horizon Agent para Linux, conforme descrito em Instalar o Horizon Agent em uma máquina virtual Linux.
  4. Modifique o arquivo de configuração /etc/sssd/sssd.conf, usando o exemplo a seguir como referência.
    Substitua os valores de espaço reservado no exemplo pelas informações específicas da sua configuração:
    • Substitua mydomain.com pelo nome DNS do seu domínio do AD.
    • Substitua MYDOMAIN.COM pelo nome DNS do seu domínio do AD, em letras maiúsculas
    [sssd]
    domains = mydomain.com
    config_file_version = 2
    services = nss, pam
     
    [domain/mydomain.com]
    ad_domain = mydomain.com
    krb5_realm = MYDOMAIN.COM
    realmd_tags = manages-system joined-with-adcli
    cache_credentials = True
    id_provider = ad
    krb5_store_password_if_offline = True
    default_shell = /bin/bash
    ldap_id_mapping = True
    use_fully_qualified_names = False        #Use short name for user
    fallback_homedir = /home/%u@%d
    access_provider = ad
    ad_gpo_map_interactive = +gdm-vmwcred    #Add this line for SSO
    ad_gpo_access_control = permissive       #Deactivate GPO access control in the cloned VM
  5. (RHEL/CentOS 7.x) Modifique o arquivo de configuração /etc/krb5.conf para usar apenas o algoritmo de criptografia rc4-hmac.
    Esse é o único algoritmo de criptografia com suporte ao usar a autenticação SSSD para ingressar no domínio de uma VM RHEL/CentOS 7.x clonada instantaneamente.
    [libdefaults]
     dns_lookup_realm = false
     ticket_lifetime = 24h
     renew_lifetime = 7d
     forwardable = true
     rdns = false
     pkinit_anchors = FILE:/etc/pki/tls/certs/ca-bundle.crt
     default_realm = MYDOMAIN.COM
     default_ccache_name = KEYRING:persistent:%{uid}
     default_tkt_enctypes = rc4-hmac       #Add this line to use rc4-hmac encryption only
     default_tgs_enctypes = rc4-hmac       #Add this line to use rc4-hmac encryption only
  6. Para garantir que Horizon Agent reconheça a VM Linux como ingressada no domínio usando a autenticação SSSD, adicione a seguinte linha ao arquivo de configuração /etc/vmware/viewagent-custom.conf.
    OfflineJoinDomain=sssd
  7. Reinicie a VM Linux golden-image e tire um snapshot da VM em vCenter Server.