[Linux-ivv4] Centos 8 Anbindung an AD

Michael Schulz michasch at uni-muenster.de
Mi Jul 15 13:00:00 CEST 2020 

Hallo zusammen,

hat ein wenig gedauert. Ich hatte, was zwar selten vorkommt, im Moment 
aber keinen Rechner auf
dem ich das hätte testen können. Heute hatte ich dann einen :-)

Rechner wurde mit der aktuellen Centos Version installiert. 8.2.2004. 
Rechner ist im AD eingetragen.

--------------------

[root at PGP046 ~]# dnf install realmd sssd oddjob oddjob-mkhomedir adcli 
samba-common samba-common-tools krb5-workstation authselect-compat

[root at PGP046 ~]# realm discover nwz.wwu.de
nwz.wwu.de
   type: kerberos
   realm-name: NWZ.WWU.DE
   domain-name: nwz.wwu.de
   configured: no
   server-software: active-directory
   client-software: sssd
   required-package: oddjob
   required-package: oddjob-mkhomedir
   required-package: sssd
   required-package: adcli
   required-package: samba-common-tools

[root at PGP046 ~]# realm join nwz.wwu.de -U $YACCOUNT_der_joinen_darf!

[root at PGP046 ~]# realm list
nwz.wwu.de
   type: kerberos
   realm-name: NWZ.WWU.DE
   domain-name: nwz.wwu.de
   configured: kerberos-member
   server-software: active-directory
   client-software: sssd
   required-package: oddjob
   required-package: oddjob-mkhomedir
   required-package: sssd
   required-package: adcli
   required-package: samba-common-tools
   login-formats: %U
   login-policy: allow-realm-logins

[root at PGP046 ~]# authselect select sssd
Profile "sssd" was selected.
The following nsswitch maps are overwritten by the profile:
- passwd
- group
- netgroup
- automount
- services

Make sure that SSSD service is configured and enabled. See SSSD 
documentation for more information.

--------------------

sssd.conf anpassen, sssd neu starten und einmal zur Sicherheit den Cache 
leeren (sss_cache -E)

Dann kommt bei einem Versuch sich auf dem Centosrechner per ssh 
anzumelden folgendes auf der Konsole des
Rechners:

Message from syslogd at pgp046 at Jul 15 05:39:40 ...
  sssd[be[nwz.wwu.de]][54086]:Group Policy Container with DN 
[cn={5D9202D1-3874-440E-87AA-8C3C657051F1},cn=policies,cn=system,DC=nwz,DC=wwu,DC=de] 
is unreadable or has unreadable or missing attributes. In order to fix 
this make sure that this AD object has following attributes readable: 
nTSecurityDescriptor, cn, gPCFileSysPath, gPCMachineExtensionNames, 
gPCFunctionalityVersion, flags. Alternatively if you do not have access 
to the server or can not change permissions on this object, you can use 
option ad_gpo_ignore_unreadable = True which will skip this GPO. See 
ad_gpo_ignore_unreadable in 'man sssd-ad' for details.

Da ich keinen Access zum AD_Server habe, habe ich 
"ad_gpo_ignore_unreadable = true" in der sssd.conf hinzugefügt und den
sssd nochmals neu gestartet.

Ich muss dann bei mir noch den Automounter konfigurieren (/home u. 
andere per NFS kommende Sachen) und
konnte mich dann per ssh auf dem Rechner anmelden.

--------------------

michasch at pgp145 ~ % ssh  pgp046
michasch at pgp046's password:
Activate the web console with: systemctl enable --now cockpit.socket

Last login: Wed Jul 15 05:41:30 2020 from 128.176.217.34
manpath: can't set the locale; make sure $LC_* and $LANG are correct

[michasch at PGP046 ~]$ id
uid=115218(michasch) gid=1440(p0hansen) 
groups=1440(p0hansen),3366(p0mitarb),4982(p0expert),5637(p0becken) 
context=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023

--------------------

Das mit dem "context=unconfirmed..." kommt wohl von selinux. Schaltet 
man das aus, ist das auch weg. Nur damit kenne
ich mich nicht aus. Daher überlasse ich das mal denjenigen die Centos 
besser kennen als ich.

Mehr kann ich nicht sagen, da das der einzige Rechner mit Centos 8 ist 
den ich jetzt habe und ich nichts weiter
getestet habe als den Login per ssh.
Viele Grüße,

Micha


On 06.07.20 09:47, Oliver Koch wrote:
> Liebe Linux-Interessierten,
>
> ich versuche gerade ein Update unserer Rechner auf Centos 8.2
> durchzuführen. Leider schlägt die Anbindung an die Domäne/AD fehl. Herr
> Strathoff hatte mir für Centos 7 ein Protokoll zur Verfügung gestellt,
> was jetzt aber bei Centos 8 nicht mehr funktioniert. Leider hat Herr
> Strathoff ja leider die Uni verlassen, und die NWZ Administratoren
> können mir nicht weiterhelfen.
>
> Gibt es vielleicht jemanden, der Rechner mit Centos 8 schon erfolgreich
> angebunden hat? Oder gibt es jemand, der mir da vielleicht unterstützen
> könnte? Meine persönliche Expertise in diesem Linux-Bereich ist leider
> zu gering.
> Vielen Dank für die Unterstützung.
>
> Viele Grüße
>
> Oliver Koch
>
-- 

Michael Schulz
Institut für Geophysik, WWU Münster
Corrensstr. 24, 48149 Münster
Tel.: +49 251 83 33938, Fax: +49 251 83 36100