Unir servidor Linux a un dominio administrado de Azure Active Directory Domain Services

rokitoh Azure, UNIX - *BSD - GNU/Linux

¿Que es Azure Active Directory Domain Services?

Azure Active Directory Domain Services (Azure AD DS) proporciona servicios de dominio administrados como unión a un dominio, directiva de grupo, protocolo ligero de acceso a directorios (LDAP) y autenticación Kerberos o NTLM. Puede usar estos servicios de dominio sin necesidad de implementar o administrar los controladores de dominio de la nube, ni de aplicarles revisiones.

Sin mas preámbulos empezamos la configuración en nuestro servidor. 

En primer lugar tenemos que configurar el fichero /etc/hosts 

127.0.0.1 webserver01.red-orbita.com webserver01

Tras configurar el fichero /etc/hosts instalamos el software requerido para poder incluirlo a Azure AD DS

sudo apt-get update
sudo apt-get install krb5-user samba sssd sssd-tools libnss-sss libpam-sss ntp ntpdate realmd adcli

Configuramos el servicio de NTP

echo "server red-orbita.com"  >> /etc/ntp.conf

Una vez configurado el servicio de NTP procedemos a sincronizarlo contra nuestro dominio

sudo systemctl stop ntp
sudo ntpdate red-orbita.com
sudo systemctl start ntp​

En la sección [libdefaults] del archivo  /etc/krb5.con agregamos lo siguiente

rdns=false

Ya estamos preparados para empezar a incluir el servidor en el dominio, en primer lugar tenemos que descubrir el domino administrativo. Para ello ejecutamos el siguiente comando:  (Es importante que sea en mayusculas) 

sudo realm discover RED-ORBITA.COM

inicializamos kerberos mediante kinit

kinit -V rokitoh@RED-ORBITAE.COM

Finalmente agregamos el servidor al dominio  

realm join -U rokitoh@RED-ORBITAE.COM RED-ORBITAE.COM --verbose

A continuación comentamos en el fichero de configuración (/etc/sssd/sssd.conf)  del servicio sssd la linea:  use_fully_qualified_names quedando de la siguiente forma 

# use_fully_qualified_names = True

Agregamos para que únicamente permita el grupo admin_linux​

realm deny --all
realm permit -g sysadminlinux@red-orbita.com

Comprobamos los permisos

 realm  list

  type: kerberos
  realm-name: RED-ORBITA.COM
  domain-name: red-orbita.com
  configured: kerberos-member
  server-software: active-directory
  client-software: sssd
  required-package: sssd-tools
  required-package: sssd
  required-package: libnss-sss
  required-package: libpam-sss
  required-package: adcli
  required-package: samba-common-bin
  login-formats: %U@red-orbita.com
  login-policy: allow-permitted-logins
  permitted-logins:
  permitted-groups: sysadminlinux@red-orbita.com​

Para aplicar el cambio reiniciamos el servicio 

sudo systemctl restart sssd

Activamos el servicio de SSH para poder acceder mediante contraseña. Para ello tenemos que editar el fichero de configuración /etc/ssh/sshd_config y modificar la linea PasswordAuthentication 

PasswordAuthentication yes

Para aplicar el cambio reiniciamos el servicio 

sudo systemctl restart ssh

Configuramos sudo para poder elevar privilegios, para ello agregamos la siguiente linea en /etc/sudoers (previamente teníamos que crear grupo y agregar a los usuarios que queremos que accedan. 

# Add 'AAD DC Administrators' group members as admins ADD DC red-orbita.com
%sysadminlinux@red-orbita.com ALL=(ALL:ALL) ALL

:wq!

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *