El método de autenticación System Security Services Daemon (SSSD) es una de las soluciones admitidas para realizar una unión de dominio sin conexión en una máquina virtual Linux de clones instantáneos.

La autenticación System Security Services Daemon (SSSD) admite la unión de dominio sin conexión con Active Directory para escritorios de clones instantáneos que ejecuten las siguientes distribuciones de Linux.

  • Ubuntu 20.04/22.04
  • Debian 10.x/11.x
  • RHEL 7.9/8.x/9.x
  • Rocky Linux 8.x/9.x
  • CentOS 7.9
  • SLED/SLES 15.x

Utilice las directrices que se describen en el siguiente procedimiento para realizar una unión de dominio sin conexión entre una máquina virtual Linux de clones instantáneos y Active Directory (AD) usando la autenticación SSSD.

Procedimiento

  1. En la máquina virtual Linux de imagen maestra, realice la unión de dominio mediante la autenticación SSSD. Asegúrese de que la imagen maestra utilice el mismo dominio que los clones instantáneos.
    Para obtener instrucciones detalladas sobre la unión de dominio, consulte la documentación de su distribución Linux.
    • (Ubuntu) Vaya a https://ubuntu.com/server/docs y busque información relacionada con SSSD y Active Directory.
    • (RHEL/CentOS) Acceda al portal de clientes de Red Hat y busque la página de documentación de su versión. Por ejemplo, puede encontrar documentación en inglés en https://access.redhat.com/documentation/en-us/red_hat_enterprise_linux/.
      • Para RHEL 9.x, busque el documento "Configurar autenticaciones y autorizaciones en RHEL" y busque información relacionada con SSSD.
      • Para RHEL 8.x, en el documento "Integrar sistemas RHEL directamente con Windows Active Directory", busque información relacionada con conectar sistemas RHEL directamente a AD mediante SSSD.
      • Para RHEL/CentOS 7.x, en la "Guía de integración de Windows", busque información relacionada con detectar y unir dominios de identidad.
    • (Rocky Linux) Vaya al portal de documentación de Rocky Linux en https://docs.rockylinux.org/ y busque información relacionada con SSSD.
    • (SLED/SLES) Vaya al portal de documentación de SUSE en https://documentation.suse.com/ y busque información relacionada con la integración de entornos Linux y Active Directory.
  2. Instale las bibliotecas de soporte de krb5.
    • (Ubuntu) Ejecute el siguiente comando.
      sudo apt-get install krb5-user
    • (RHEL/CentOS y Rocky Linux) Ejecute el siguiente comando.
      sudo yum install krb5-workstation
    • (SLED/SLES) Ejecute la siguiente secuencia de comandos.
      sudo zypper install krb5-client
sudo ln -s /usr/lib/mit/bin/ktutil /usr/bin/ktutil
sudo ln -s /usr/lib/mit/bin/kvno /usr/bin/kvno
  3. Instale Horizon Agent for Linux, como se describe en Instalar Horizon Agent en una máquina virtual Linux.
  4. Modifique el archivo de configuración /etc/sssd/sssd.conf con el siguiente ejemplo como referencia.
    Reemplace los valores de marcador de posición en el ejemplo con información específica de su configuración:
    • Reemplace mydomain.com con el nombre DNS de su dominio de AD.
    • Reemplace MYDOMAIN.COM con el nombre DNS de su dominio de AD en mayúsculas
    [sssd]
domains = mydomain.com
config_file_version = 2
services = nss, pam
 
[domain/mydomain.com]
ad_domain = mydomain.com
krb5_realm = MYDOMAIN.COM
realmd_tags = manages-system joined-with-adcli
cache_credentials = True
id_provider = ad
krb5_store_password_if_offline = True
default_shell = /bin/bash
ldap_id_mapping = True
use_fully_qualified_names = False        #Use short name for user
fallback_homedir = /home/%u@%d
access_provider = ad
ad_gpo_map_interactive = +gdm-vmwcred    #Add this line for SSO
ad_gpo_access_control = permissive       #Deactivate GPO access control in the cloned VM
  5. (RHEL/CentOS 7.x) Modifique el archivo de configuración /etc/krb5.conf para usar solo el algoritmo de cifrado rc4-hmac.
    Este es el único algoritmo de cifrado compatible cuando se utiliza la autenticación SSSD para unir el dominio de una máquina virtual RHEL/CentOS 7.x. 
    [libdefaults]
 dns_lookup_realm = false
 ticket_lifetime = 24h
 renew_lifetime = 7d
 forwardable = true
 rdns = false
 pkinit_anchors = FILE:/etc/pki/tls/certs/ca-bundle.crt
 default_realm = MYDOMAIN.COM
 default_ccache_name = KEYRING:persistent:%{uid}
 default_tkt_enctypes = rc4-hmac       #Add this line to use rc4-hmac encryption only
 default_tgs_enctypes = rc4-hmac       #Add this line to use rc4-hmac encryption only
  6. Para asegurarse de que Horizon Agent reconoce la máquina virtual Linux como unida al dominio mediante la autenticación SSSD, agregue la siguiente línea al archivo de configuración /etc/vmware/viewagent-custom.conf. 
    OfflineJoinDomain=sssd
  7. Reinicie la máquina virtual Linux de imagen maestra y tome una instantánea de la máquina virtual en vCenter Server.