linux-system-roles.ad_integration
Direkte AD-Integration Rolle
Eine Ansible-Rolle, die die direkte Integration von Active Directory konfiguriert.
Unterstützte Distributionen
- RHEL7+, CentOS7+
- Fedora
Anforderungen
Um der Domäne beizutreten, muss ein Active Directory-Benutzer mit genügend Berechtigungen verwendet werden. Es wird nicht empfohlen, den Administrator-Benutzer zu verwenden, da Sicherheitsrisiken bestehen.
Siehe Delegierte Berechtigungen für die speziellen Berechtigungen, die ein Benutzer haben muss.
Die Uhrzeit muss mit den Active Directory-Servern synchronisiert sein. Die ad_integration Rolle verwendet die timesync-Systemrolle, wenn der Benutzer ad_integration_manage_timesync auf true setzt und eine Quelle für ad_integration_timesync_source angibt.
RHEL8 (und neuer) sowie Fedora unterstützen von Haus aus keine RC4-Verschlüsselung mehr. Es wird empfohlen, AES in Active Directory zu aktivieren. Wenn dies nicht möglich ist, muss die AD-SUPPORT-Kryptorichtlinie aktiviert werden. Die Integrationsrolle verwendet die crypto_policies-Systemrolle, wenn der Benutzer die Parameter ad_integration_manage_crypto_policies und ad_integration_allow_rc4_crypto auf true setzt.
Das Linux-System muss Standard-AD-DNS-SRV-Datensätze auflösen können.
Die folgenden Firewall-Ports müssen auf der AD-Server-Seite geöffnet und vom Linux-Client erreichbar sein.
| Quellport | Ziel | Protokoll | Dienst |
|---|---|---|---|
| 1024:65535 | 53 | TCP und UDP | DNS |
| 1024:65535 | 389 | TCP und UDP | LDAP |
| 1024:65535 | 636 | TCP | LDAPS |
| 1024:65535 | 88 | TCP und UDP | Kerberos |
| 1024:65535 | 464 | TCP und UDP | Kerberos Passwort ändern/setzen (kadmin) |
| 1024:65535 | 3268 | TCP | LDAP Global Catalog |
| 1024:65535 | 3269 | TCP | LDAP Global Catalog SSL |
| 1024:65535 | 123 | UDP | NTP/Chrony (Optional) |
| 1024:65535 | 323 | UDP | NTP/Chrony (Optional) |
Sammlungsvoraussetzungen
Diese Rolle benötigt zusätzliche Module aus externen Sammlungen. Bitte verwenden Sie den folgenden Befehl, um sie zu installieren:
ansible-galaxy collection install -vv -r meta/collection-requirements.yml
Rollenvariablen
Erforderliche Variablen
ad_integration_realm
Active Directory-Realm oder Domänenname, dem beigetreten werden soll.
ad_integration_password
Das Passwort des Benutzers, der zur Authentifizierung beim Beitritt zur Domäne verwendet wird. Verwenden Sie keinen Klartext – verwenden Sie Ansible Vault, um den Wert zu verschlüsseln.
Optionale Variablen
ad_integration_user
Der Benutzername, der zur Authentifizierung beim Beitritt zur Domäne verwendet werden soll.
Standard: Administrator
ad_integration_join_to_dc
Der Hostname eines Active Directory-Domänencontrollers (verwenden Sie keine IP-Adresse), über den direkt beigetreten werden kann.
Standard: Nicht gesetzt
ad_integration_force_rejoin
Vor dem Beitritt die bestehende Domäne verlassen. Dies kann nötig sein, wenn der Keytab nicht mit dem Maschinenkonto zur AD-Domäne authentifizieren kann.
Standard: false
ad_integration_auto_id_mapping
Automatisches UID/GID-Mapping für Benutzer und Gruppen aktivieren; auf false setzen, um sich auf bereits vorhandene POSIX-Attribute in Active Directory zu verlassen.
Standard: true
ad_integration_client_software
Nur für Realms beitreten, für die die angegebene Client-Software verwendet werden kann. Mögliche Werte sind sssd oder winbind. Nicht alle Werte werden für alle Realms unterstützt.
Standard: Automatische Auswahl
ad_integration_membership_software
Die Software, die beim Beitritt zur Domäne verwendet werden soll. Mögliche Werte sind samba oder adcli. Nicht alle Werte werden für alle Realms unterstützt.
Standard: Automatische Auswahl
ad_integration_computer_ou
Der Distinguished Name einer organisatorischen Einheit, um das Computer-Konto zu erstellen. Er kann relativ zur Root DSE oder als vollständiger LDAP-DN angegeben werden.
Standard: Standard-AD-Computercontainer
ad_integration_manage_timesync
Wenn true, verwendet die ad_integration Rolle fedora.linux_system_roles.timesync. Es muss ein Wert für ad_integration_timesync_source angegeben werden, um als Zeitquelle verwendet zu werden.
Standard: false
ad_integration_timesync_source
Hostname oder IP-Adresse der Zeitquelle, um die Systemuhr zu synchronisieren. Wenn diese Variable angegeben wird, wird ad_integration_manage_timesync automatisch auf true gesetzt.
ad_integration_manage_crypto_policies
Wenn true, verwendet die ad_integration Rolle fedora.linux_system_roles.crypto_policies nach Bedarf.
Standard: false
ad_integration_allow_rc4_crypto
Wenn true, wird die ad_integration Rolle die Kryptorichtlinie festlegen, die RC4-Verschlüsselung erlaubt. Wenn diese Variable angegeben wird, wird ad_integration_manage_crypto_policies automatisch auf true gesetzt.
Standard: false
ad_integration_manage_dns
Wenn true, verwendet die ad_integration Rolle fedora.linux_system_roles.network, um den angegebenen DNS-Server (siehe unten) mit konfiguriertem manuellen DNS zu einer vorhandenen Verbindung hinzuzufügen. Wenn true, sind die folgenden Variablen erforderlich:
ad_integration_dns_server- Zu hinzufügender DNS-Serverad_integration_dns_connection_name- Name der vorhandenen Netzwerkverbindung, die konfiguriert werden sollad_integration_dns_connection_type- Typ der vorhandenen Netzwerkverbindung, die konfiguriert werden soll
ad_integration_dns_server
IP-Adresse des DNS-Servers, der zur bestehenden Netzwerkkonfiguration hinzugefügt werden soll. Nur anwendbar, wenn ad_integration_manage_dns true ist.
ad_integration_dns_connection_name
Die Namensoption identifiziert das Verbindungsprofil, das durch die Netzwerkrolle konfiguriert werden soll. Es ist nicht der Name der Netzwerkschnittstelle, auf die das Profil angewendet wird. Nur anwendbar, wenn ad_integration_manage_dns true ist.
ad_integration_dns_connection_type
Netzwerkverbindungstyp wie Ethernet, Bridge, Bond usw. Die Netzwerkrolle enthält eine Liste möglicher Werte. Nur anwendbar, wenn ad_integration_manage_dns true ist.
ad_dyndns_update
Wenn true, wird SSSD so konfiguriert, dass der AD-DNS-Server automatisch mit der IP-Adresse des Clients aktualisiert wird.
Standard: false
ad_dyndns_ttl
Optional. Die TTL in Sekunden, die auf den DNS-Eintrag des Clients angewendet wird, wenn er aktualisiert wird. Nur anwendbar, wenn ad_dyndns_update true ist.
Hinweis: Dies überschreibt die TTL, die von einem Administrator auf dem Server festgelegt wurde.
Standard: 3600
ad_dyndns_iface
Optional. Schnittstelle oder eine Liste von Schnittstellen, deren IP-Adressen für dynamische DNS-Updates verwendet werden sollen. Der spezielle Wert "*" bedeutet, dass alle IPs aller Schnittstellen verwendet werden sollen. Nur anwendbar, wenn ad_dyndns_update true ist.
Standard: Verwenden der IP-Adressen der Schnittstelle, die für die AD-LDAP-Verbindung verwendet wird.
ad_dyndns_refresh_interval
Optional. Wie oft sollten, in Sekunden, regelmäßige DNS-Updates durchgeführt werden, zusätzlich dazu, wenn das Backend online geht. Nur anwendbar, wenn ad_dyndns_update true ist.
Hinweis: Der niedrigste mögliche Wert beträgt 60 Sekunden. Wenn ein Wert von weniger als 60 angegeben wird, nimmt SSSD den niedrigsten Wert an.
Standard: 86400
ad_dyndns_update_ptr
Optional. Wenn true, sollte auch der PTR-Eintrag explizit aktualisiert werden. Nur anwendbar, wenn ad_dyndns_update true ist.
Standard: true
ad_dyndns_force_tcp
Optional. Wenn true, sollte das nsupdate-Dienstprogramm standardmäßig TCP zur Kommunikation mit dem DNS-Server verwenden. Nur anwendbar, wenn ad_dyndns_update true ist.
Standard: false
ad_dyndns_auth
Optional. Wenn true, wird GSS-TSIG-Authentifizierung für sichere Updates mit dem DNS-Server verwendet, wenn A- und AAAA-Einträge aktualisiert werden. Nur anwendbar, wenn ad_dyndns_update true ist.
Standard: true
ad_dyndns_server
Optional. DNS-Server, der verwendet werden soll, wenn die Autodetektionseinstellungen fehlschlagen. Nur anwendbar, wenn ad_dyndns_update true ist.
Standard: Keine (nsupdate wählt den Server aus)
ad_integration_join_parameters
Zusätzliche Parameter (als String), die direkt dem Beitrittsbefehl für die Domäne mitgegeben werden. Nützlich, wenn eine spezielle Konfiguration wie --user-principal=host/name@REALM oder --use-ldaps erforderlich ist. Siehe man realm für Details. Beispiel: ad_integration_join_parameters: "--user-principal host/client007@EXAMPLE.COM"
ad_integration_sssd_settings
Eine Liste von Einstellungen, die im [sssd]-Abschnitt der sssd.conf-Datei enthalten sind. Siehe sssd.conf man-Seiten für Details. Beispiel:
ad_integration_sssd_settings:
- key: "configuration_name"
value: "configuration_value"
ad_integration_sssd_custom_settings
Eine Liste von benutzerdefinierten Einstellungen, die im [domain/$REALM]-Abschnitt der sssd.conf-Datei enthalten sind. Siehe sssd.conf man-Seiten für Details. Beispiel:
ad_integration_sssd_custom_settings:
- key: "configuration_name"
value: "configuration_value"
ad_integration_preserve_authselect_profile
Dies ist ein Boolean, Standard ist false. Wenn true, wird realmd.conf so konfiguriert, dass der authselect-Befehl aus sssd-enable-logins entfernt wird, um vorherige PAM/nsswitch-Änderungen zu vermeiden, bis RHEL-5101 behoben ist.
Beispiel-Playbook
Das folgende ist ein Beispiel-Playbook zur Einrichtung der direkten Active Directory-Integration mit der AD-Domäne domain.example.com. Der Beitritt erfolgt mit dem Benutzer Administrator unter Verwendung des im Vault gespeicherten Passworts. Vor dem Beitritt wird die Kryptorichtlinie für AD SUPPORT mit RC4-Verschlüsselung aktiviert.
- hosts: all
vars:
ad_integration_realm: "domain.example.com"
ad_integration_password: !vault | …verschlüsseltes Passwort…
ad_integration_manage_crypto_policies: true
ad_integration_allow_rc4_crypto: true
roles:
- linux-system-roles.ad_integration
rpm-ostree
Siehe README-ostree.md
Lizenz
MIT.
Autor Informationen
Justin Stephenson (jstephen@redhat.com)