Ingressar (join) CentOS 7 em domínio Samba 4 + SSH + sudo
Dica publicada em Linux / Redes
Ingressar (join) CentOS 7 em domínio Samba 4 + SSH + sudo
Opa!
Dica rápida de como ingressar máquina CentOS, em domínio Samba 4 (ADDC 2008 R2), e ter usuário do domínio logando por SSH e elevando seus privilégios com SUDO.
Pacotes necessários:
# yum install -y realmd samba-common oddjob-mkhomedir oddjob samba-winbind-clients samba-winbind
Adicionar winbind do boot:
# systemctl enable winbind
Dar join do domínio (validar que a DNS esta OK):
# realm join --client-software=winbind -U administrator SEU-DOMINIO
Validar:
# realm list
Validar com Winbind:
Valida que o Winbind está up (caso não tente reiniciar o mesmo) -> "systemctl restart winbinnd":
# wbinfo -p
Informa que a confiança esta OK:
# wbinfo -t
Listar usuários:
# wbinfo -u
Listar grupos:
# wbinfo -g
Se tudo acima está OK, edite o arquivo smb.conf e deixe como abaixo, alterando o que deseja/precisa ou pode deixar como ele está (se já lhe atende). Eu alterei por necessidade.
# vim /etc/samba/smb.conf
Para que somente os usuários X acessem, vamos somente permitir um grupo, previamente criado no DC, chamado "linuxuser", e somente quem está nesse grupo poderá acessar por SSH:
# echo "Allowgroups linuxuser" >> /etc/ssh/sshd_config
Reinicie o SSH:
# systemctl restart ssh
Mesmo grupo do ssh poderá ter "poderes" de root:
# echo "%linuxuser ALL=(ALL) ALL" >> /etc/sudoers
Pronto, com isso tudo funcionando!!!
Abraço!!!
Dica rápida de como ingressar máquina CentOS, em domínio Samba 4 (ADDC 2008 R2), e ter usuário do domínio logando por SSH e elevando seus privilégios com SUDO.
Pacotes necessários:
# yum install -y realmd samba-common oddjob-mkhomedir oddjob samba-winbind-clients samba-winbind
Adicionar winbind do boot:
# systemctl enable winbind
Dar join do domínio (validar que a DNS esta OK):
# realm join --client-software=winbind -U administrator SEU-DOMINIO
Validar:
# realm list
Validar com Winbind:
Valida que o Winbind está up (caso não tente reiniciar o mesmo) -> "systemctl restart winbinnd":
# wbinfo -p
Informa que a confiança esta OK:
# wbinfo -t
Listar usuários:
# wbinfo -u
Listar grupos:
# wbinfo -g
Se tudo acima está OK, edite o arquivo smb.conf e deixe como abaixo, alterando o que deseja/precisa ou pode deixar como ele está (se já lhe atende). Eu alterei por necessidade.
# vim /etc/samba/smb.conf
[global]
kerberos method = system keytab
workgroup = <SEU GRUPO DE TRABALHO>
template shell = /bin/bash
security = ads
realm = <SEU-DOMINIO>
idmap backend = tdb
idmap gid = 10000-2000000
idmap uid = 10000-2000000
winbind use default domain = yes
winbind refresh tickets = yes
winbind offline logon = yes
winbind enum groups = no
winbind enum users = no
winbind offline logon = no
winbind cache time = 60
idmap cache time = 60
kerberos method = system keytab
workgroup = <SEU GRUPO DE TRABALHO>
template shell = /bin/bash
security = ads
realm = <SEU-DOMINIO>
idmap backend = tdb
idmap gid = 10000-2000000
idmap uid = 10000-2000000
winbind use default domain = yes
winbind refresh tickets = yes
winbind offline logon = yes
winbind enum groups = no
winbind enum users = no
winbind offline logon = no
winbind cache time = 60
idmap cache time = 60
Para que somente os usuários X acessem, vamos somente permitir um grupo, previamente criado no DC, chamado "linuxuser", e somente quem está nesse grupo poderá acessar por SSH:
# echo "Allowgroups linuxuser" >> /etc/ssh/sshd_config
Reinicie o SSH:
# systemctl restart ssh
Mesmo grupo do ssh poderá ter "poderes" de root:
# echo "%linuxuser ALL=(ALL) ALL" >> /etc/sudoers
Pronto, com isso tudo funcionando!!!
Abraço!!!
realm = SEU-DOMINIO
#-------------------------------------------------------------------------------------#
"Linux is cool"