El método de autenticación System Security Services Daemon (SSSD) es una de las soluciones admitidas para realizar una unión de dominio sin conexión en una máquina virtual Linux de clones instantáneos.

La autenticación System Security Services Daemon (SSSD) admite la unión de dominio sin conexión con Active Directory para escritorios de clones instantáneos que ejecuten las siguientes distribuciones de Linux.

  • Ubuntu 20.04/22.04
  • Debian 10.x/11.x/12.x
  • RHEL 7.9/8.x/9.x
  • Rocky Linux 8.x/9.x
  • CentOS 7.9
  • SLED/SLES 15.x

Utilice las directrices que se describen en el siguiente procedimiento para realizar una unión de dominio sin conexión entre una máquina virtual Linux de clones instantáneos y Active Directory (AD) usando la autenticación SSSD.

Procedimiento

  1. En la máquina virtual Linux de imagen maestra, realice la unión de dominio mediante la autenticación SSSD. Asegúrese de que la imagen maestra utilice el mismo dominio que los clones instantáneos.
    Para obtener instrucciones detalladas sobre la unión de dominio, consulte la documentación de su distribución Linux.
    • (Ubuntu) Vaya a https://ubuntu.com/server/docs y busque información relacionada con SSSD y Active Directory.
    • (RHEL/CentOS) Acceda al portal de clientes de Red Hat y busque la página de documentación de su versión. Por ejemplo, puede encontrar documentación en inglés en https://access.redhat.com/documentation/en-us/red_hat_enterprise_linux/.
      • Para RHEL 9.x, busque el documento "Configurar autenticaciones y autorizaciones en RHEL" y busque información relacionada con SSSD.
      • Para RHEL 8.x, en el documento "Integrar sistemas RHEL directamente con Windows Active Directory", busque información relacionada con conectar sistemas RHEL directamente a AD mediante SSSD.
      • Para RHEL/CentOS 7.x, en la "Guía de integración de Windows", busque información relacionada con detectar y unir dominios de identidad.
    • (Rocky Linux) Vaya al portal de documentación de Rocky Linux en https://docs.rockylinux.org/ y busque información relacionada con SSSD.
    • (SLED/SLES) Vaya al portal de documentación de SUSE en https://documentation.suse.com/ y busque información relacionada con la integración de entornos Linux y Active Directory.
  2. Instale las bibliotecas de soporte de krb5.
    • (Ubuntu) Ejecute el siguiente comando.
      sudo apt-get install krb5-user
    • (RHEL/CentOS y Rocky Linux) Ejecute el siguiente comando.
      sudo yum install krb5-workstation
    • (SLED/SLES) Ejecute la siguiente secuencia de comandos.
      sudo zypper install krb5-client
      sudo ln -s /usr/lib/mit/bin/ktutil /usr/bin/ktutil
      sudo ln -s /usr/lib/mit/bin/kvno /usr/bin/kvno
  3. Instale Horizon Agent for Linux, como se describe en Instalar Horizon Agent en una máquina Linux.
  4. Modifique el archivo de configuración /etc/sssd/sssd.conf con el siguiente ejemplo como referencia.
    Reemplace los valores de marcador de posición en el ejemplo con información específica de su configuración:
    • Reemplace mydomain.com con el nombre DNS de su dominio de AD.
    • Reemplace MYDOMAIN.COM con el nombre DNS de su dominio de AD en mayúsculas
    [sssd]
    domains = mydomain.com
    config_file_version = 2
    services = nss, pam
     
    [domain/mydomain.com]
    ad_domain = mydomain.com
    krb5_realm = MYDOMAIN.COM
    realmd_tags = manages-system joined-with-adcli
    cache_credentials = True
    id_provider = ad
    krb5_store_password_if_offline = True
    default_shell = /bin/bash
    ldap_id_mapping = True
    use_fully_qualified_names = False        #Use short name for user
    fallback_homedir = /home/%u@%d
    access_provider = ad
    ad_gpo_map_interactive = +gdm-vmwcred    #Add this line for SSO
    ad_gpo_access_control = permissive       #Deactivate GPO access control in the cloned VM
  5. (RHEL/CentOS 7.x) Modifique el archivo de configuración /etc/krb5.conf para usar solo el algoritmo de cifrado rc4-hmac.
    Este es el único algoritmo de cifrado compatible cuando se utiliza la autenticación SSSD para unir el dominio de una máquina virtual RHEL/CentOS 7.x.
    [libdefaults]
     dns_lookup_realm = false
     ticket_lifetime = 24h
     renew_lifetime = 7d
     forwardable = true
     rdns = false
     pkinit_anchors = FILE:/etc/pki/tls/certs/ca-bundle.crt
     default_realm = MYDOMAIN.COM
     default_ccache_name = KEYRING:persistent:%{uid}
     default_tkt_enctypes = rc4-hmac       #Add this line to use rc4-hmac encryption only
     default_tgs_enctypes = rc4-hmac       #Add this line to use rc4-hmac encryption only
  6. Para asegurarse de que Horizon Agent reconoce la máquina virtual Linux como unida al dominio mediante la autenticación SSSD, agregue la siguiente línea al archivo de configuración /etc/vmware/viewagent-custom.conf.
    OfflineJoinDomain=sssd
  7. Reinicie la máquina virtual Linux de imagen maestra y tome una instantánea de la máquina virtual en vCenter Server.