O método de autenticação System Security Services Daemon (SSSD) é uma das soluções com suporte para realizar uma associação offline de domínio em uma máquina virtual (VM) Linux clonada instantaneamente.
A autenticação do System Security Services Daemon (SSSD) é compatível com a associação offline de domínio com o Active Directory para áreas de trabalho de clonagem instantânea que executam as seguintes distribuições Linux.
- Ubuntu 20.04/22.04
- Debian 10.x/11.x/12.x
- RHEL 7.9/8.x/9.x
- Rocky Linux 8.x/9.x
- CentOS 7.9
- SLED/SLES 15.x
Use as diretrizes descritas no procedimento a seguir para ingressar no domínio offline de uma VM Linux clonada instantaneamente para Active Directory (AD) usando a autenticação SSSD.
Procedimento
- Na VM Linux golden-image, realize o ingresso no domínio usando a autenticação SSSD. Certifique-se de que a golden image use o mesmo domínio que os clones instantâneos.
Para obter instruções detalhadas sobre como ingressar no domínio, consulte a documentação da sua distribuição do Linux.
- (Ubuntu) Vá para https://ubuntu.com/server/docs e procure informações relacionadas ao SSSD e ao Active Directory.
- (RHEL/CentOS) Acesse o portal do cliente Red Hat e localize a página de documentação da sua versão de lançamento. Por exemplo, você pode encontrar a documentação em inglês em https://access.redhat.com/documentation/en-us/red_hat_enterprise_linux/.
- Para o RHEL 9.x, localize o documento "Configurando autenticação e autorização no RHEL" e procure informações relacionadas ao SSSD.
- Para o RHEL 8.x, localize o documento "Integrando sistemas RHEL diretamente com Windows Active Directory" e procure informações relacionadas à conexão de sistemas RHEL diretamente ao AD usando o SSSD.
- Para o RHEL/CentOS 7.x, localize o " Windows Guia de Integração" e procure informações relacionadas à descoberta e ingresso em domínios de identidade.
- (Rocky Linux) Acesse o portal de documentação do Rocky Linux em https://docs.rockylinux.org/ e procure informações relacionadas ao SSSD.
- (SLED/SLES) Acesse o portal de documentação do SUSE em https://documentation.suse.com/ e procure informações relacionadas à integração de ambientes Linux e Active Directory.
- Instale as bibliotecas de suporte do krb5.
- (Ubuntu) Execute o seguinte comando.
sudo apt-get install krb5-user
- (RHEL/CentOS e Rocky Linux) Execute o seguinte comando.
sudo yum install krb5-workstation
- (SLED/SLES) Execute a seguinte sequência de comandos.
sudo zypper install krb5-client
sudo ln -s /usr/lib/mit/bin/ktutil /usr/bin/ktutil
sudo ln -s /usr/lib/mit/bin/kvno /usr/bin/kvno
- Instale o Horizon Agent para Linux, conforme descrito em Instalar o Horizon Agent em uma máquina Linux.
- Modifique o arquivo de configuração /etc/sssd/sssd.conf, usando o exemplo a seguir como referência.
Substitua os valores de espaço reservado no exemplo pelas informações específicas da sua configuração:
- Substitua mydomain.com pelo nome DNS do seu domínio do AD.
- Substitua MYDOMAIN.COM pelo nome DNS do seu domínio do AD, em letras maiúsculas
[sssd]
domains = mydomain.com
config_file_version = 2
services = nss, pam
[domain/mydomain.com]
ad_domain = mydomain.com
krb5_realm = MYDOMAIN.COM
realmd_tags = manages-system joined-with-adcli
cache_credentials = True
id_provider = ad
krb5_store_password_if_offline = True
default_shell = /bin/bash
ldap_id_mapping = True
use_fully_qualified_names = False #Use short name for user
fallback_homedir = /home/%u@%d
access_provider = ad
ad_gpo_map_interactive = +gdm-vmwcred #Add this line for SSO
ad_gpo_access_control = permissive #Deactivate GPO access control in the cloned VM
- (RHEL/CentOS 7.x) Modifique o arquivo de configuração /etc/krb5.conf para usar apenas o algoritmo de criptografia rc4-hmac.
Esse é o único algoritmo de criptografia com suporte ao usar a autenticação SSSD para ingressar no domínio de uma VM RHEL/CentOS 7.x clonada instantaneamente.
[libdefaults]
dns_lookup_realm = false
ticket_lifetime = 24h
renew_lifetime = 7d
forwardable = true
rdns = false
pkinit_anchors = FILE:/etc/pki/tls/certs/ca-bundle.crt
default_realm = MYDOMAIN.COM
default_ccache_name = KEYRING:persistent:%{uid}
default_tkt_enctypes = rc4-hmac #Add this line to use rc4-hmac encryption only
default_tgs_enctypes = rc4-hmac #Add this line to use rc4-hmac encryption only
- Para garantir que Horizon Agent reconheça a VM Linux como ingressada no domínio usando a autenticação SSSD, adicione a seguinte linha ao arquivo de configuração /etc/vmware/viewagent-custom.conf.
- Reinicie a VM Linux golden-image e tire um snapshot da VM em vCenter Server.