Используемые термины: SSH , Active Directory , CentOS .

Мы рассмотрим простые примеры команд, которые позволят настроить аутентификацию пользователей Active Directory на Linux для входа по SSH. Данная инструкция подойдет для CentOS версий 7 и 8.

Подготовка сервера

Обновляем список пакетов:

Задаем имя компьютеру:

Устанавливаем часовой пояс (у меня московское время):

Устанавливаем сервис для синхронизации времени и запускаем его:

Настройка аутентификации SSH через AD

Устанавливаем пакеты:

* где:

• realmd — сервис для автоматического поиска и конфигурирования AD.
• sssd — пакет программ, с помощью которого можно настраивать аутентификацию и авторизацию в системах на базе UNIX.
• oddjob — служба, которая принимает запросы по D-BUS (системная шина сообщений) на выполнение действий.
• oddjob-mkhomedir — в соответствии с названием, пакет позволяет отправить запрос на создание домашнего каталога пользователя.
• adcli — утилита для ввода компьютера в домен.
• samba-common и samba-common-tools — набор пакетов для выполнения запросов к файлам и принтерам клиентов Microsoft Windows.

Сканируем наш домен:

Вводим компьютер в домен:

* DOMAIN.LOCAL — ваш домен.
** username — имя учетной записи с правом вводить компьютер в домен.

Настраиваем sssd для возможности вводить логин без префикса домена:

Разрешаем создавать домашние директории новым пользователям:

Запускаем сервис sssd:

Готово. Пробуем зайти по SSH под доменной учетной записью.

Аутентификация по группам AD

Мы настроили возможность авторизовываться в системе для любого пользователя в Active Directory. Попробуем ограничить доступ с помощью групп безопасности.

Мы можем задать настройки в конфигурационном файле:

* где в данном примере предоставлен доступ все пользователям группы Domain Admins .

После внесения изменений нужно перезагрузить сервис sssd:

Также мы можем управлять настройками командами.

Сначала очистим доступ:

Теперь дадим разрешение для 3-х групп:

* данные команды разрешают вход пользователям групп Domain Admins , Тестовая группа , ssh .