我们设置了12个红帽服务器,并将它们join到我们的Windows活动目录域中。 最初我们使用的是redhat 7.4,一切都很好,但是供应商进来告诉我们他们的应用只支持7.3。 因此,我们将所有12台服务器重新安装为7.3并将它们连接到域。 除了用户以外,所有的工作都在每台服务器上得到随机的UID。 这是不行的,因为我们在12台服务器上共享一个文件系统。
我们已经使用sssd设置了这个。 安装非常简单,我们只安装了一些软件包,然后运行这个命令来join:
realm join --user=xxxxxx--computer-ou="ou=EpicWorkloads,ou=EPIC,dc=core,dc=dir,dc=xxxxxx,dc=com" core.dir.xxxxx.com
然后在/etc/sssd/sssd.conf中更改了一些设置以使用大型域:
ldap_idmap_default_domain = core.dir.xxxxx.com ldap_idmap_autorid_compat = true ldap_idmap_range_min = 200000 ldap_idmap_range_max = 2000200000 ldap_idmap_range_size = 1000000
问题似乎是最后的价值。 在7.4,我们可以把它设置为128,000,000。 如果我们设置了100多万,它就会失败。
任何人都知道发生了什么事?
请参阅RHEL 7.4发行说明: https : //access.redhat.com/documentation/en-us/red_hat_enterprise_linux/7/html/7.4_release_notes/new_features_authentication_and_interoperability
你没有说如果你在AD中为你的用户设置POSIX用户/组ID, 也许你不是。
特别是,“SSSD支持用户和组的解决scheme,authentication和在没有UID或SID的设置中的授权”部分可能是相关的:
在传统的系统安全服务守护进程(SSSD)部署中,用户和组设置了POSIX属性,或者SSSD可以根据Windows安全标识符(SID)parsing用户和组。 通过此更新,在使用LDAP作为身份提供者的设置中,即使LDAP目录中不存在UID或SID,SSSD现在也支持以下function:通过D-Bus接口进行用户和组parsing通过可插入身份validation进行身份validation和授权模块(PAM)接口(BZ#1425891)
7.4中有相当多的与SSSD有关的变化(特别是在智能卡周围)