Integrando CentOS ao Active Directory

Como já observado há algum tempo, vários ambientes são demasiados de tecnologias heterogêneas, tanto por questões de custos, tecnologias especificas e integrações de aplicações. Esse é um tema muito recorrente no cotidiano dos profissionais de tecnologia como integrar para se obter um gerenciamento centralizado.

Visando uma boa gestão dos recursos da T.I(tecnologia da informação), a centralização tanto de informações como de acesso é a base para qualquer gerencia bi-direcional.

Como a gama de sistemas operacionais é bem ampla, foi realizado uma integração entre um CentOS(Linux) uma distribuição derivado do Red Hat Enterprise(RHEL) e Windows Server(Microsoft), sendo que, essa estrutura é muito utilizada em ambientes organizacionais de vários portes(pequenos, médios e grandes).

Leia mais:

Guia definitivo com 174 cursos grátis da Udemy para 2020
O risco dos pontos de rede LAN nas recepções dos escritórios
Segurança de dispositivos: como protegê-los adequadamente?
Rebaixar DC com problema do Active Directory via NTDSUTIL
Ativando o Protocolo RDP via Powershell

Para realização da integração partiremos do pressuposto que o ambiente já esteja com esses dois sistemas instalados em funcionamento, só será mostrados os recursos necessários para integração.

CENÁRIO:

Windows Server 2016(Domain Controller)
a) Hostname
b) Active Directory
c) DNS
d) Network

CentOS 8 (Workstation ou Server)
a) Hostname
b) Network
c) Update
d) Upgrade

Vamos então para a integração dos serviços, para possibilitar a ingressão do CentOS ao nosso domínio do AD(Active Directory). Para começar nosso trabalho indico efetuar o acesso do Linux via SSH(Secure Socket Shell), assim pode-se colar os códigos diretamente ao invés de precisar digitar um por um.

Processos de execução para integração

1 – Primeiramente instalar os pacotes necessários para realizar toda integração, como mostra a figura abaixo.

yum install sssd realmd oddjob oddjob-mkhomedir adcli samba-common samba-common-tools krb5-workstation openldap-clients policycoreutils-python

2 – Adicionar ao arquivo /etc/resolv.conf o name do seu domain e o endereço do servidor AD, para a workstation ou server encontrar seu domain controller.

⚠️ Atenção: esse passo é muito importante para comunicação e ingressão ao domínio.

nano /etc/resolv.conf

3 – Para verificar se funcionou corretamente as alterações no arquivo /etc/resolv.conf, efetuamos um teste de solicitação de comunicação via name domain, se tudo deu certo deve-se ter um retorno como na figura abaixo.

#DicaProfissa: Faça um curso profissionalizante!
Garanta um curso certificado na área de TI e Software pela plataforma de estudos online Udemy.
Clique aqui e confira todos os cursos mais recentes em tecnologia!

ping mhtctecnologia.local

4 – Renomear o host que será ingressado ao domínio, no caso o CentOS, sem realizar essa operação não é possível ingressar o domínio.

hostname MHTC-SRVCENTOS01
hostname

5 – Ingressão do host ao domínio, em caso de erros verificar há comunicação com o domínio ou se o mesmo possui um hostname. Nesse passo será necessário um usuário com privilégios de admin domain e posteriormente solicitado a senha.

realm join --user=inf_mateus mhtctecnologia.local

6 – Verificação se o host foi ingressado no domínio com sucesso(figura 1), após efetuar o comando de verificação se tudo ocorrer corretamente é possível visualizar o host já no contêiner “Computers” no AD (figura 2).

realm list

7 – Com o host fazendo parte do domínio, vamos alterar o modo de como devemos especificar os usuários de domínio para o host local, visto que é necessário sempre especificar o “user”@mhtctecnologia.local.

id mateus.coimbra
id [email protected]

8 – Alteração de comportamento de solicitação do FQDN(Fully Qualified Domain), realizamos a alteração do arquivo /etc/sssd/sssd.conf, com essa alteração muda-se o diretório de usuário ao logar no Linux.

Original:

use_fully_qualified_names = True
fallback_homedir = /home/%[email protected]%d

Alterado:

use_fully_qualified_names = False
fallback_homedir = /home/%u
nano /etc/sssd/sssd.conf

Após realizar as alterações é necessário reiniciar o serviço do sssd(figura 1) e conferir se o FQDN ainda é necessário para exibição dos usuário do domínio(figura 2).

#DicaProfissa: Faça um curso profissionalizante!
Garanta um curso certificado na área de TI e Software pela plataforma de estudos online Udemy.
Clique aqui e confira todos os cursos mais recentes em tecnologia!

systemctl restart sssd.service
id mateus.coimbra

Como podemos observar a integração foi realizado com sucesso, porém para deixar ainda mais centralizado a administração e gerenciamento, podemos realizar restrições de login e permissões de root através de grupos de segurança do Active Directory como será mostrado adiante.

Direitos de login e root ao host Linux

1 – Inicialmente precisamos criar os grupos de segurança no AD e dentro desses grupos adicionar o usuários com a respectiva permissão, como a figura abaixo.

2 – Criando o arquivo no CentOS para buscar os usuários no grupo do AD com permissões de sudo(figura 1) e listar diretório para verificar arquivo criado(figura 2).

nano /etc/sudoers.d/sudoers%
ls -l /etc/sudoers.d/

3 – Adicionando a permissão de login ao host somente para os usuários presentes no grupo com esse tipo de permissão e após alteração reiniciar o serviço.

nano /etc/sssd/sssd.conf
systemctl restart sssd.service

Testes de acesso e permissão de root

1 – Teste de login e usuário com permissões de root, como pode verificar o usuário inf_mateus é membros dos grupos Linux-(Root e Login), sendo assim ele possui acesso ao host e privilégios root, como mostra a figura abaixo.

2 – Verificando o acesso do usuário mateus.coimbra ele não faz parte de nenhum grupo com permissão de acesso, sendo assim seu login já é bloqueado de imediato(figura 1), porém o mesmo fazendo parte do grupo de login e não sendo integrante do grupo root(figura 2).

#DicaProfissa: Faça um curso profissionalizante!
Garanta um curso certificado na área de TI e Software pela plataforma de estudos online Udemy.
Clique aqui e confira todos os cursos mais recentes em tecnologia!

Como analisado e explicado toda a estrutura de integração e centralização dos acessos com o Active Directoryo controle do ambiente tende a ficar mais gerencial.

Era esse conhecimento que gostaria de partilhar, faça bom aproveito!

Referência: https://www.linkedin.com/pulse/integrando-centos-ao-active-directory-henrique-tremonte-coimbra/?trackingId=bnSTm2Fhybr1iuShnHsHUQ%3D%3D

Este artigo foi útil?

Para manter um padrão de qualidade para vocês, investimos em um ótimo plano de hospedagem, CDN Pago, Plugins de Otimização para o Site, etc…

Ajude-nos a manter o projeto ativo! 

Acompanhe as novidades em tempo real. Siga nosso perfil no Instagram..

Felipe Santos
Felipe Santos é Arquiteto de Cloud e Segurança, com vivência em Administração de Ambientes Windows Server, Cluster, Storages, Backups Veeam e Office 365.
pt_BRPortuguese

ATÉ 90% DE DESCONTO

DECOLE SUA CARREIRA!!

Quer dar um upgrade na sua carreira? 

Invista em você e saia na frente! Conquiste aquele emprego dos sonhos em 2022!