linux-system-roles.ad_integration
Rôle d'intégration directe AD
Un rôle ansible qui configure l'intégration directe avec Active Directory.
Distributions prises en charge
- RHEL7+, CentOS7+
- Fedora
Exigences
Pour rejoindre le domaine, vous devez utiliser un utilisateur Active Directory qui a des droits suffisants. Il n'est pas recommandé d'utiliser l'utilisateur Administrateur car son empreinte de sécurité est trop importante.
Voir Permissions déléguées pour les permissions explicites qu'un utilisateur doit avoir.
L'heure doit être synchronisée avec les serveurs Active Directory. Le rôle d'intégration AD utilisera le rôle système timesync pour cela si l'utilisateur spécifie ad_integration_manage_timesync à vrai et fournit une valeur pour ad_integration_timesync_source à utiliser comme source de temps.
RHEL8 (et versions ultérieures) ainsi que Fedora ne prennent plus en charge le chiffrement RC4 par défaut, il est recommandé d'activer AES dans Active Directory. Si cela n'est pas possible, la politique de cryptographie AD-SUPPORT doit être activée. Le rôle d'intégration utilisera le rôle système crypto_policies pour cela si l'utilisateur définit les paramètres ad_integration_manage_crypto_policies et ad_integration_allow_rc4_crypto à vrai.
Le système Linux doit être capable de résoudre les enregistrements DNS SRV par défaut d'AD.
Les ports de pare-feu suivants doivent être ouverts du côté du serveur AD, accessibles depuis le client Linux.
| Port Source | Destination | Protocole | Service |
|---|---|---|---|
| 1024:65535 | 53 | TCP et UDP | DNS |
| 1024:65535 | 389 | TCP et UDP | LDAP |
| 1024:65535 | 636 | TCP | LDAPS |
| 1024:65535 | 88 | TCP et UDP | Kerberos |
| 1024:65535 | 464 | TCP et UDP | Changement/mise à jour du mot de passe Kerberos (kadmin) |
| 1024:65535 | 3268 | TCP | Catalogue Global LDAP |
| 1024:65535 | 3269 | TCP | Catalogue Global LDAP SSL |
| 1024:65535 | 123 | UDP | NTP/Chrony (Optionnel) |
| 1024:65535 | 323 | UDP | NTP/Chrony (Optionnel) |
Exigences de collection
Ce rôle nécessite des modules supplémentaires provenant de collections externes. Veuillez utiliser la commande suivante pour les installer :
ansible-galaxy collection install -vv -r meta/collection-requirements.yml
Variables du rôle
Variables requises
ad_integration_realm
Royaume Active Directory, ou nom de domaine à rejoindre.
ad_integration_password
Le mot de passe de l'utilisateur utilisé pour s'authentifier lors de la jonction de la machine au royaume. N'utilisez pas de texte clair - utilisez Ansible Vault pour chiffrer la valeur.
Variables optionnelles
ad_integration_user
Le nom d'utilisateur à utiliser pour s'authentifier lors de la jonction de la machine au royaume.
Par défaut : Administrateur
ad_integration_join_to_dc
Un nom d'hôte d'un contrôleur de domaine Active Directory (ne pas utiliser d'adresse IP) peut être spécifié pour rejoindre directement via ce contrôleur de domaine.
Par défaut : Non défini
ad_integration_force_rejoin
Quitter le domaine existant avant de procéder à la jonction. Cela peut être nécessaire si le keytab ne peut pas s'authentifier avec le compte machine au domaine AD.
Par défaut : faux
ad_integration_auto_id_mapping
Effectuer une correspondance automatique UID/GID pour les utilisateurs et groupes, défini sur false pour s'appuyer sur des attributs POSIX déjà présents dans Active Directory.
Par défaut : vrai
ad_integration_client_software
Rejoindre uniquement les royaumes pour lesquels nous pouvons utiliser le logiciel client donné. Les valeurs possibles incluent sssd ou winbind. Tous les valeurs ne sont pas prises en charge pour tous les royaumes.
Par défaut : Sélection automatique
ad_integration_membership_software
Le logiciel à utiliser lors de la jonction au royaume. Les valeurs possibles incluent samba ou adcli. Tous les valeurs ne sont pas prises en charge pour tous les royaumes.
Par défaut : Sélection automatique
ad_integration_computer_ou
Le nom distingué d'une unité organisationnelle pour créer le compte machine. Il peut être relatif au Root DSE ou un DN LDAP complet.
Par défaut : Conteneur d'ordinateurs AD par défaut
ad_integration_manage_timesync
Si vrai, le rôle ad_integration utilisera fedora.linux_system_roles.timesync. Nécessite de fournir une valeur pour ad_integration_timesync_source à utiliser comme source horaire.
Par défaut : faux
ad_integration_timesync_source
Nom d'hôte ou adresse IP de la source de temps avec laquelle synchroniser l'horloge système. Fournir cette variable définit automatiquement ad_integration_manage_timesync à vrai.
ad_integration_manage_crypto_policies
Si vrai, le rôle ad_integration utilisera fedora.linux_system_roles.crypto_policies si nécessaire.
Par défaut : faux
ad_integration_allow_rc4_crypto
Si vrai, le rôle ad_integration définira la politique cryptographique permettant le chiffrement RC4. Fournir cette variable définit automatiquement ad_integration_manage_crypto_policies à vrai.
Par défaut : faux
ad_integration_manage_dns
Si vrai, le rôle ad_integration utilisera fedora.linux_system_roles.network pour ajouter le serveur DNS fourni (voir ci-dessous) avec une configuration DNS manuelle à une connexion existante. Si vrai, alors les variables suivantes sont requises :
ad_integration_dns_server- Serveur DNS à ajouterad_integration_dns_connection_name- Nom de connexion réseau existante à configurerad_integration_dns_connection_type- Type de connexion réseau existante à configurer
ad_integration_dns_server
Adresse IP du serveur DNS à ajouter à la configuration réseau existante. Applicable uniquement si ad_integration_manage_dns est vrai.
ad_integration_dns_connection_name
L'option de nom définit le profil de connexion à configurer par le rôle réseau. Ce n'est pas le nom de l'interface réseau à laquelle le profil s'applique. Applicable uniquement si ad_integration_manage_dns est vrai.
ad_integration_dns_connection_type
Type de connexion réseau tel qu'ethernet, bridge, bond...etc, le rôle réseau contient une liste de valeurs possibles. Applicable uniquement si ad_integration_manage_dns est vrai.
ad_dyndns_update
Si vrai, SSSD est configuré pour mettre à jour automatiquement le serveur DNS AD avec l'adresse IP du client.
Par défaut : faux
ad_dyndns_ttl
Optionnel. Le TTL, en secondes, à appliquer à l'enregistrement DNS du client lors de sa mise à jour. Applicable uniquement si ad_dyndns_update est vrai.
Remarque : Cela remplacera le TTL défini par un administrateur sur le serveur.
Par défaut : 3600
ad_dyndns_iface
Optionnel. Interface ou liste d'interfaces dont les adresses IP doivent être utilisées pour les mises à jour DNS dynamiques. La valeur spéciale "*" implique que toutes les IP de toutes les interfaces doivent être utilisées. Applicable uniquement si ad_dyndns_update est vrai.
Par défaut : Utiliser les adresses IP de l'interface utilisée pour la connexion LDAP AD.
ad_dyndns_refresh_interval
Optionnel. À quelle fréquence, en secondes, des mises à jour DNS périodiques doivent-elles être effectuées en plus de lorsque le backend est en ligne. Applicable uniquement si ad_dyndns_update est vrai.
Remarque : la valeur la plus basse possible est de 60 secondes. Si une valeur inférieure à 60 est spécifiée, sssd supposera la valeur la plus basse seulement.
Par défaut : 86400
ad_dyndns_update_ptr
Optionnel. Si vrai, l'enregistrement PTR doit également être explicitement mis à jour. Applicable uniquement si ad_dyndns_update est vrai.
Par défaut : vrai
ad_dyndns_force_tcp
Optionnel. Si vrai, l'utilitaire nsupdate doit par défaut utiliser TCP pour communiquer avec le serveur DNS. Applicable uniquement si ad_dyndns_update est vrai.
Par défaut : faux
ad_dyndns_auth
Optionnel. Si vrai, l'authentification GSS-TSIG sera utilisée pour des mises à jour sécurisées avec le serveur DNS lors de la mise à jour des enregistrements A et AAAA. Applicable uniquement si ad_dyndns_update est vrai.
Par défaut : vrai
ad_dyndns_server
Optionnel. Serveur DNS à utiliser lors de l'exécution d'une mise à jour DNS lorsque les paramètres d'autodétection échouent. Applicable uniquement si ad_dyndns_update est vrai.
Par défaut : Aucune (laisser nsupdate choisir le serveur)
ad_integration_join_parameters
Paramètres supplémentaires (sous forme de chaîne) fournis directement à la commande de jonction du royaume. Utile si une configuration spécifique comme --user-principal=host/name@REALM ou --use-ldaps est nécessaire. Voir le manuel de realm pour plus de détails. Exemple : ad_integration_join_parameters: "--user-principal host/client007@EXAMPLE.COM"
ad_integration_sssd_settings
Une liste de réglages à inclure dans la section [sssd] du fichier sssd.conf. Voir le manuel de sssd.conf pour plus de détails. Exemple :
ad_integration_sssd_settings:
- key: "nom_de_configuration"
value: "valeur_de_configuration"
ad_integration_sssd_custom_settings
Une liste de réglages personnalisés à inclure dans la section [domain/$REALM] du fichier sssd.conf. Voir le manuel de sssd.conf pour plus de détails. Exemple :
ad_integration_sssd_custom_settings:
- key: "nom_de_configuration"
value: "valeur_de_configuration"
ad_integration_preserve_authselect_profile
Ceci est un booléen, la valeur par défaut est false. Si true, configure realmd.conf pour retirer la commande authselect de sssd-enable-logins afin d'éviter de remplacer les modifications PAM/nsswitch précédentes, jusqu'à ce que RHEL-5101 soit résolu.
Exemple de Playbook
Le qui suit est un exemple de playbook pour configurer l'intégration directe Active Directory avec le domaine AD domain.example.com, la jonction sera effectuée avec l'utilisateur Administrateur en utilisant le mot de passe stocké dans le coffre. Avant la jonction, la politique de cryptographie pour la SOUTIEN AD avec le chiffrement RC4 autorisé sera définie.
- hosts: all
vars:
ad_integration_realm: "domain.example.com"
ad_integration_password: !vault | …mot de passe chiffré dans le coffre…
ad_integration_manage_crypto_policies: true
ad_integration_allow_rc4_crypto: true
roles:
- linux-system-roles.ad_integration
rpm-ostree
Voir README-ostree.md
Licence
MIT.
Informations sur l'auteur
Justin Stephenson (jstephen@redhat.com)
Direct AD Integration Role
ansible-galaxy install linux-system-roles.ad_integration