La méthode d'authentification SSSD (System Security Services Daemon) est l'une des solutions prises en charge pour effectuer une jonction de domaine hors ligne sur une machine virtuelle (VM) Linux Instant Clone.

L'authentification SSSD (System Security Services Daemon) prend en charge la jonction de domaine hors connexion avec Active Directory pour les postes de travail d'Instant Clone exécutant les distributions Linux suivantes.

  • Ubuntu 18.04/20.04/22.04
  • Debian 10.x/11.x
  • RHEL 7.9/8.x/9.x
  • CentOS 7.9
  • SLED/SLES 15.x

Utilisez les directives décrites dans la procédure suivante pour effectuer la jonction de domaine hors ligne d'une VM Linux Instant Clone dans Active Directory (AD) à l'aide de l'authentification SSSD.

Procédure

  1. Sur la VM Linux d'image standard, effectuez la jonction de domaine à l'aide de l'authentification SSSD. Assurez-vous que l'image standard utilise le même domaine que les Instant Clones.
    Pour obtenir des instructions détaillées sur la jonction de domaine, reportez-vous à la documentation de votre distribution Linux.
    • (Ubuntu) Accédez à https://ubuntu.com/server/docs et recherchez des informations relatives à « SSSD et Active Directory ».
    • (RHEL/CentOS) Accédez au portail client Red Hat et recherchez la page de documentation de votre version. Par exemple, vous trouverez de la documentation en anglais sur https://access.redhat.com/documentation/en-us/red_hat_enterprise_linux/.
      • Pour RHEL 9.x, recherchez le document « Configuration de l'authentification et de l'autorisation dans RHEL » et recherchez les informations relatives à SSSD.
      • Pour RHEL 8.x, recherchez le document « Intégration directe de systèmes RHEL à Windows Active Directory » et recherchez des informations relatives à la « connexion directe des systèmes RHEL à AD à l'aide de SSSD ».
      • Pour RHEL/CentOS 7.x, recherchez le « Guide d'intégration Windows » et recherchez des informations relatives à la « détection et à jonction de domaines d'identité ».
    • (SLED/SLES) Accédez au portail de documentation SUSE à l'adresse https://documentation.suse.com/ et recherchez des informations relatives à l'« intégration d'environnements Linux et Active Directory ».
  2. Installez les bibliothèques de prise en charge de krb5.
    • (Ubuntu) Exécutez la commande suivante.
      sudo apt-get install krb5-user
    • (RHEL/CentOS) Exécutez la commande suivante.
      sudo yum install krb5-workstation
    • (SLED/SLES) Exécutez la séquence de commandes suivante.
      sudo zypper install krb5-client
      sudo ln -s /usr/lib/mit/bin/ktutil /usr/bin/ktutil
      sudo ln -s /usr/lib/mit/bin/kvno /usr/bin/kvno
  3. Installez Horizon Agent for Linux, comme décrit dans la section Mise à niveau d'Horizon Agent sur une machine virtuelle Linux.
  4. Modifiez le fichier de configuration /etc/sssd/sssd.conf, en utilisant l'exemple suivant comme référence.
    Remplacez les valeurs d'espace réservé dans l'exemple par des informations spécifiques à votre configuration :
    • Remplacez mydomain.com par le nom DNS de votre domaine AD.
    • Remplacez MYDOMAIN.COM par le nom DNS de votre domaine AD, en majuscules
    [sssd]
    domains = mydomain.com
    config_file_version = 2
    services = nss, pam
     
    [domain/mydomain.com]
    ad_domain = mydomain.com
    krb5_realm = MYDOMAIN.COM
    realmd_tags = manages-system joined-with-adcli
    cache_credentials = True
    id_provider = ad
    krb5_store_password_if_offline = True
    default_shell = /bin/bash
    ldap_id_mapping = True
    use_fully_qualified_names = False        #Use short name for user
    fallback_homedir = /home/%u@%d
    access_provider = ad
    ad_gpo_map_interactive = +gdm-vmwcred    #Add this line for SSO
    ad_gpo_access_control = permissive       #Deactivate GPO access control in the cloned VM
  5. (RHEL/CentOS 7.x, Ubuntu 18.04) Modifiez le fichier de configuration /etc/krb5.conf pour utiliser uniquement l'algorithme de chiffrement rc4-hmac.
    Il s'agit du seul algorithme de chiffrement pris en charge lors de l'utilisation de l'authentification SSSD pour joindre à un domaine une VM RHEL/CentOS 7.x ou Ubuntu 18.04 d'Instant Clone.
    [libdefaults]
     dns_lookup_realm = false
     ticket_lifetime = 24h
     renew_lifetime = 7d
     forwardable = true
     rdns = false
     pkinit_anchors = FILE:/etc/pki/tls/certs/ca-bundle.crt
     default_realm = MYDOMAIN.COM
     default_ccache_name = KEYRING:persistent:%{uid}
     default_tkt_enctypes = rc4-hmac       #Add this line to use rc4-hmac encryption only
     default_tgs_enctypes = rc4-hmac       #Add this line to use rc4-hmac encryption only
  6. Pour vous assurer qu'Horizon Agent reconnaît la VM Linux comme jointe au domaine à l'aide de l'authentification SSSD, ajoutez la ligne suivante au fichier de configuration /etc/vmware/viewagent-custom.conf.
    OfflineJoinDomain=sssd
  7. Redémarrez la VM Linux d'image standard et prenez un snapshot de la VM dans vCenter Server.