Implementación de AADDC SLDAP

tag-icon tag-icon entra-id
Implementación de AADDC SLDAP

Soy nuevo en el servicio Active Directory de Azure y su abstracción es un pequeño enigma para mí en este momento. Lo que estoy tratando de hacer es autenticar todos mis servidores AWS EC2 (Linux) a través de LDAP (para conexión SSH).

Configuré exitosamente el SLDAP, la dirección IP pública ya se generó y la vinculé a un FQDN (dc.midominio.com). En mi servidor AWS EC2 Linux, instalé sssd y kingdomd para poder realizar la autenticación SSH AD.

Aquí está la cadena ldap que uso y que confirma que sldap funciona correctamente:

ldapsearch -H ldaps://directory.mydomain.com:636 -Z -d 5 -x -b "dc=mydomain,dc=com" -D "[email protected]" -W

El comando anterior proporciona toda la información sobre DN, CN, OU, DC que figuran en Azure AD.

Mientras intento usar PAM en CENTOS7, parece que binddnno se resuelve en ninguno results(); seguro que el dnque estoy usando existe, ya que es el que se muestra en los resultados de ldapsearch.

¿MS Azure tiene restricciones/limitaciones al respecto?

Respuesta1

No hay documentación que indique que existen límites para Azure AD DS con LDAP seguro.

De la documentación, solo dice que puede acceder al dominio administrado con LDAP seguro a través de Internet. Además, no indica que la aplicación pueda usarlo para autenticarse en Azure AD.

Como alternativa, en lugar de Azure AD DS con LDAPS, puede considerar el uso de Azure AD para inicios de sesión de Linux desde el enlace siguiente. Incluso puedes encontrar código de muestra deaquí.

https://channel9.msdn.com/Blogs/Open/Using-Azure-AD-for-Linux-logins

ACTUALIZAR

Funciona mediante el uso de Azure AD para iniciar sesión SSH en mi RHEL 7.3. A continuación se muestra la guía paso a paso para que Azure AD funcione para los inicios de sesión de Linux.

Requisitos previos

  • Se ha creado un directorio de Azure AD y existen algunos usuarios.
  • Node.js y npm están instalados en la VM Linux
  • Se ha creado una aplicación de directorio (tipo de cliente nativo) y tiene el ID de cliente
  • Su distribución PAM tiene pam_exec.so

Aprovisionamiento de usuarios

Debe usar el siguiente comando para agregar la cuenta de Azure AD; esto garantiza que NSS pueda ver al usuario con el que iniciará sesión.

sudo useradd -m <user>

Instalación

Puede descargar el archivo tar desdehttps://github.com/bureado/aad-loginy:

sudo tar xzf aad-login_0.1.tar.gz -C /
cd /opt/aad-login
sudo npm install

Configurando

  1. Abra /opt/aad-login/aad-login.js y cambie los siguientes elementos

directorio var = '********.onmicrosoft.com'; // El nombre de dominio del directorio
var idcliente = '****-****-*****-*****-**********'; //El ID de cliente de la aplicación registrada en Azure AD
autoridadHostUrl: 'https://login.microsoftonline.com' //La última URL del punto final

  1. Abra /etc/pam.d/sshd y agregue la siguiente regla

autenticación suficiente pam_exec.so exponen_authtok /usr/local/bin/aad-login

Nota:Para Utuntu, debe agregar la regla en /etc/pam.d/common-auth

  1. En CentOS 7.x (y otras distribuciones habilitadas para SELinux), debe deshabilitar la política ejecutando el siguiente comando:

    sudo setenforce 0

información relacionada