Join di una VM Linux in Active Directory tramite SSSD

21/12/2022 Nessun commento Reading Time: 3 minutes

join-linux-vm-to-ad-using-sssd-01

Per effettuare il join di una VM Linux in Active Directory, il componente SSSD (System Security Services Daemon) è il metodo di autenticazione consigliato da usare per i nuovi sistemi Linux.

Questa soluzione è particolarmente utile se si utilizzano gli instant-clones Linux nella propria infrastruttura VMware Horizon poichè SSSD permette di effettuare l'accesso alle directory remote e ai meccanismi di autenticazione.

SSSD è usato per connettere un sistema locale verso sistemi esterni, come ad esempio:

  • Una directory LDAP
  • Un dominio Identity Management
  • Un dominio di Active Directory domain
  • Un Kerberos realm

 

Come funziona SSSD

Il processo di autenticazione SSSD è basato su due fasi:

  • Recupero dell'identità e delle informazioni di autenticazione quando il client è connesso ad un provider remoto.
  • L'informazione di autenticazione viene utilizzata per creare una cache locale nel client di utenti e credenziali.

join-linux-vm-to-ad-using-sssd-02

 

Metodi di autenticazione

Ci sono diversi metodi di autenticazione che possono essere utilizzati per le virtual machine Linux e la scelta è basata sulla distribuzione Linux in uso e dall'infrastruttura disponibile.

 

OpenLDAP Pass-through Authentication (PTA)

PTA può essere utilizzato su ogni distribuzione Linux supportata dall'Horizon Agent per verificare le credenziali utente in Active Directory utilizzando il meccanismo di autenticazione pass-through.

 

Autenticazione System Security Services Daemon (SSSD)

SSSD supporta il join offline al dominio Active Directory per le VM di tipo instant-clone con installate le seguenti distribuzioni Linux:

  • Ubuntu 18.04/20.04/22.04
  • RHEL 7.x/8.x/9.x
  • CentOS 7.x
  • SLED/SLES 12.x/15.x

 

Autenticazione PowerBroker Identity Services Open (PBISO)

PBISO supporta il join offline al dominio Active Directory per le VM di tipo instant-clone con installate le seguenti distribuzioni Linux:

  • Ubuntu 18.04/20.04/22.04
  • RHEL 7.x

 

Samba

Samba può essere utilizzato per qualsiasi distribuzione Linux supportata dall'Agent Horizon e supporta il join offline al dominio Active Directory per le VM di tipo instant-clone. E' consigliato l'utilizzo di Samba solo per desktop con installate vecchie distribuzioni, utilizzare SSSD per le nuove distribuzioni.

 

Prerequisiti

Prima di procedere con la configurazione, verificare che i seguenti prerequisiti siano soddisfatti:

  • Prima di effettuare l'operazione di discovering del domino AD a cui si deve effettuare il join, verificare che le porte richieste siano aperte nel Domain Controller e che la VM Linux riesca ad accedere al DC.

join-linux-vm-to-ad-using-sssd-03

  • Entrambi i sistemi devono avere il time sincronizzato per garantire che Kerberos possa funzionare correttamente.
  • Se si lavora con VMware Horizon, verificare che l'OS Linux sia supportato dall'Horizon Linux Agent. Le distribuzioni Linux supportate:

join-linux-vm-to-ad-using-sssd-04

Questo articolo è stato scritto per il blog StarWind e può essere consultato in questa pagina. Descrive l'intera procedura per effettuare il join di una VM Linux in Active Directory utilizzando SSSD.

 

Installazione dell'Horizon Agent se richiesto

Se la VM configurata prevede l'utilizzo come Golden Image per un ambiente VMware Horizon, scaricare l'Horizon Agent dal sito web VMware e copiarlo nella macchina RHEL utilizzando un tool come WinSCP. Poichè la VDI Linux supporta solo il protocollo Blast, se si utilizzano i Thin Client per connettersi alle proprie VDI, verificare che il protocollo Blast sia supportato.

join-linux-vm-to-ad-using-sssd-05

Il package dell'Horizon Agent ha alcune dipendenze che devono essere installate nel sistema prima di effettuare l'installazione. Normalmente è necessario installare questi pacchetti solo se il sistema system ha un setup di installazione minimo.

# yum install bc gdm libappindicator-gtk3 lsof pulseaudio-module-x11 pulseaudio-utils xorg-x11-drv-vmware xorg-x11-server-utils xorg-x11-xauth zenity

join-linux-vm-to-ad-using-sssd-06

Quando le dipendenze sono state istallate, installare l'Horizon Agent.

# rpm -ivh /tmp/VMware-horizonagent-linux-2209-8.7.0-20612436.el8.x86_64.rpm

join-linux-vm-to-ad-using-sssd-07

Se ci sono reti multiple, è possibile ricevere questo avviso durante l'installazione dell'Horizon Agent.

join-linux-vm-to-ad-using-sssd-08

Editare il file /etc/vmware/viewagent-custom.conf e specificare nel caso la corretta subnet:

# vi /etc/vmware/viewagent-custom.conf

join-linux-vm-to-ad-using-sssd-09

Abilitare inoltre la riga seguente:

OfflineJoinDomain=sssd

join-linux-vm-to-ad-using-sssd-10

Quando il Desktop Pool Horizon è configurato, il desktop instant-clone Linux verrà creato con join al dominio AD tramite SSSD. Utilizzare poi le credenziali AD per effettuare il to login alla VDI.

join-linux-vm-to-ad-using-sssd-11

Gli utenti di Active Directory possono ora accedere alla macchina Linux. Per le nuove versioni dei sistemi Linux, SSSD è il metodo raccomandato di autenticazione in Active Directory.

Consultare l'intero articolo sul blog StarWind.

signature

Related Posts

About The Author

Paolo Valsecchi

System Engineer, VCP-DCV, vExpert, VMCE, Veeam Vanguard, PernixPro. Esperienza lavorativa focalizzata su VMware vSphere, Microsoft Active Directory e soluzioni di backup/DR.