linux-system-roles.ad_integration
Rol de Integración Directa con AD
Un rol de Ansible que configura la integración directa con Active Directory.
Distribuciones soportadas
- RHEL7+, CentOS7+
- Fedora
Requisitos
Para unirse al dominio, debes usar un usuario de Active Directory que tenga permisos suficientes para unirse. No se recomienda utilizar el usuario Administrador, ya que su huella de seguridad es demasiado grande.
Consulta los Permisos Delegados para conocer los permisos específicos que debe tener un usuario.
La hora debe estar sincronizada con los servidores de Active Directory. El rol de ad_integration utilizará el rol del sistema de sincronización de tiempo para esto si el usuario especifica que ad_integration_manage_timesync sea verdadero y proporciona un valor para ad_integration_timesync_source que se utilizará como fuente de tiempo.
RHEL8 (y versiones más nuevas) y Fedora ya no soportan la encriptación RC4 de forma predeterminada, se recomienda habilitar AES en Active Directory. Si esto no es posible, se debe habilitar la política de criptografía AD-SUPPORT. El rol de integración utilizará el rol de políticas criptográficas si el usuario establece los parámetros ad_integration_manage_crypto_policies y ad_integration_allow_rc4_crypto a verdadero.
El sistema Linux debe ser capaz de resolver los registros DNS SRV de AD por defecto.
Debes abrir los siguientes puertos del firewall en el lado del servidor AD, y deben ser accesibles desde el cliente Linux.
| Puerto de Origen | Destino | Protocolo | Servicio |
|---|---|---|---|
| 1024:65535 | 53 | TCP y UDP | DNS |
| 1024:65535 | 389 | TCP y UDP | LDAP |
| 1024:65535 | 636 | TCP | LDAPS |
| 1024:65535 | 88 | TCP y UDP | Kerberos |
| 1024:65535 | 464 | TCP y UDP | Cambio/establecimiento de contraseña de Kerberos (kadmin) |
| 1024:65535 | 3268 | TCP | Catálogo Global LDAP |
| 1024:65535 | 3269 | TCP | Catálogo Global LDAP SSL |
| 1024:65535 | 123 | UDP | NTP/Chrony (Opcional) |
| 1024:65535 | 323 | UDP | NTP/Chrony (Opcional) |
Requisitos de colecciones
Este rol requiere módulos adicionales de colecciones externas. Usa el siguiente comando para instalarlos:
ansible-galaxy collection install -vv -r meta/collection-requirements.yml
Variables del Rol
Variables requeridas
ad_integration_realm
Reino de Active Directory o nombre de dominio al que unirse.
ad_integration_password
La contraseña del usuario utilizado para autenticarse al unirse a la máquina al reino. No uses texto claro; utiliza Ansible Vault para encriptar el valor.
Variables opcionales
ad_integration_user
El nombre de usuario a utilizar para autenticarse al unirse a la máquina al reino.
Predeterminado: Administrador
ad_integration_join_to_dc
Se puede especificar el nombre del controlador de dominio de Active Directory (no usar dirección IP) para unirse directamente a ese controlador de dominio.
Predeterminado: No establecido
ad_integration_force_rejoin
Dejar el dominio existente antes de realizar la unión. Esto puede ser necesario si el keytab no puede autenticarse con la cuenta de máquina en el dominio AD.
Predeterminado: falso
ad_integration_auto_id_mapping
Realizar un mapeo automático de UID/GID para usuarios y grupos, establecer en falso para confiar en los atributos POSIX ya presentes en Active Directory.
Predeterminado: verdadero
ad_integration_client_software
Unirse solo a los reinos para los cuales se puede utilizar el software de cliente dado. Los valores posibles incluyen sssd o winbind. No todos los valores son compatibles con todos los reinos.
Predeterminado: Selección automática
ad_integration_membership_software
El software a utilizar al unirse al reino. Los valores posibles incluyen samba o adcli. No todos los valores son compatibles con todos los reinos.
Predeterminado: Selección automática
ad_integration_computer_ou
El nombre distinto de una unidad organizativa para crear la cuenta del ordenador. Puede ser relativo al Root DSE o un DN LDAP completo.
Predeterminado: Contenedor de ordenador predeterminado de AD
ad_integration_manage_timesync
Si es verdadero, el rol de ad_integration utilizará fedora.linux_system_roles.timesync. Es necesario proporcionar un valor para ad_integration_timesync_source que se utilizará como fuente de tiempo.
Predeterminado: falso
ad_integration_timesync_source
Nombre de host o dirección IP de la fuente de tiempo para sincronizar el reloj del sistema. Proporcionar esta variable establece automáticamente ad_integration_manage_timesync en verdadero.
ad_integration_manage_crypto_policies
Si es verdadero, el rol de ad_integration utilizará fedora.linux_system_roles.crypto_policies según sea necesario.
Predeterminado: falso
ad_integration_allow_rc4_crypto
Si es verdadero, el rol de ad_integration establecerá la política criptográfica permitiendo la encriptación RC4. Proporcionar esta variable establece automáticamente ad_integration_manage_crypto_policies en verdadero.
Predeterminado: falso
ad_integration_manage_dns
Si es verdadero, el rol de ad_integration utilizará fedora.linux_system_roles.network para agregar el servidor DNS proporcionado (ver más abajo) con la configuración DNS manual a una conexión existente. Si es verdadero, se requieren las siguientes variables:
ad_integration_dns_server- Servidor DNS a agregarad_integration_dns_connection_name- Nombre de conexión de red existente a configurarad_integration_dns_connection_type- Tipo de conexión de red existente a configurar
ad_integration_dns_server
Dirección IP del servidor DNS que se agregará a la configuración de red existente. Solo aplicable si ad_integration_manage_dns es verdadero.
ad_integration_dns_connection_name
La opción de nombre identifica el perfil de conexión que se configurará mediante el rol de red. No es el nombre de la interfaz de red para la cual se aplica el perfil. Solo aplicable si ad_integration_manage_dns es verdadero.
ad_integration_dns_connection_type
Tipo de conexión de red, como ethernet, bridge, bond, etc. El rol de red contiene una lista de posibles valores. Solo aplicable si ad_integration_manage_dns es verdadero.
ad_dyndns_update
Si es verdadero, SSSD está configurado para actualizar automáticamente el servidor DNS de AD con la dirección IP del cliente.
Predeterminado: falso
ad_dyndns_ttl
Opcional. El TTL, en segundos, que se aplicará al registro DNS del cliente cuando se actualice. Solo aplicable si ad_dyndns_update es verdadero.
Nota: Esto reemplazará el TTL establecido por un administrador en el servidor.
Predeterminado: 3600
ad_dyndns_iface
Opcional. Interfaz o lista de interfaces cuyas direcciones IP deberían ser utilizadas para actualizaciones dinámicas de DNS. El valor especial "*" implica que se deberían usar todas las IPs de todas las interfaces. Solo aplicable si ad_dyndns_update es verdadero.
Predeterminado: Usar las direcciones IP de la interfaz que se utiliza para la conexión LDAP de AD.
ad_dyndns_refresh_interval
Opcional. Con qué frecuencia, en segundos, deben realizarse actualizaciones periódicas de DNS además de cuando el backend vuelva a estar en línea. Solo aplicable si ad_dyndns_update es verdadero.
Nota: el valor más bajo posible es 60 segundos. Si se especifica un valor menor a 60, sssd asumirá el valor más bajo solamente.
Predeterminado: 86400
ad_dyndns_update_ptr
Opcional. Si es verdadero, el registro PTR también se actualizará explícitamente. Solo aplicable si ad_dyndns_update es verdadero.
Predeterminado: verdadero
ad_dyndns_force_tcp
Opcional. Si es verdadero, la utilidad nsupdate debe configurarse para usar TCP al comunicarse con el servidor DNS. Solo aplicable si ad_dyndns_update es verdadero.
Predeterminado: falso
ad_dyndns_auth
Opcional. Si es verdadero, se utilizará la autenticación GSS-TSIG para actualizaciones seguras con el servidor DNS al actualizar registros A y AAAA. Solo aplicable si ad_dyndns_update es verdadero.
Predeterminado: verdadero
ad_dyndns_server
Opcional. Servidor DNS a utilizar al realizar una actualización de DNS cuando fallen la autodetecciones. Solo aplicable si ad_dyndns_update es verdadero.
Predeterminado: Ninguno (dejar que nsupdate elija el servidor).
ad_integration_join_parameters
Parámetros adicionales (como una cadena) suministrados directamente al comando de unión al reino. Útil si se necesita alguna configuración específica como --user-principal=host/name@REALM o --use-ldaps. Consulta el manual de realm para más detalles. Ejemplo: ad_integration_join_parameters: "--user-principal host/client007@EXAMPLE.COM"
ad_integration_sssd_settings
Una lista de configuraciones que se incluirán en la sección [sssd] del archivo sssd.conf. Consulta las páginas del manual de sssd.conf para más detalles.
Ejemplo:
ad_integration_sssd_settings:
- key: "configuration_name"
value: "configuration_value"
ad_integration_sssd_custom_settings
Una lista de configuraciones personalizadas que se incluirán en la sección [domain/$REALM] del archivo sssd.conf. Consulta las páginas del manual de sssd.conf para más detalles.
Ejemplo:
ad_integration_sssd_custom_settings:
- key: "configuration_name"
value: "configuration_value"
ad_integration_preserve_authselect_profile
Esto es un booleano, el valor predeterminado es falso. Si es verdadero, configura realmd.conf para eliminar el comando authselect de sssd-enable-logins para evitar sobrescribir cambios anteriores de PAM/nsswitch, hasta que se aborde RHEL-5101.
Ejemplo de Playbook
El siguiente es un ejemplo de playbook para configurar la integración directa con Active Directory con el dominio AD domain.example.com, la unión se realizará con el usuario Administrador usando la contraseña almacenada en el vault. Antes de la unión, se establecerá la política criptográfica para AD SUPPORT con la encriptación RC4 permitida.
- hosts: all
vars:
ad_integration_realm: "domain.example.com"
ad_integration_password: !vault | …contraseña encriptada en vault…
ad_integration_manage_crypto_policies: true
ad_integration_allow_rc4_crypto: true
roles:
- linux-system-roles.ad_integration
rpm-ostree
Consulta README-ostree.md
Licencia
MIT.
Información del autor
Justin Stephenson (jstephen@redhat.com)
Direct AD Integration Role
ansible-galaxy install linux-system-roles.ad_integration