问:RHEL,SSSD,Active Directory
下午好。 我已经仔细阅读了各种关于让Linux系统使用AD进行身份validation的文章,但是还没有看到什么东西逼近我打我的头。 这里有很多设置,请耐心等待。 首先,我们的目标是让我们所有的Linux和Unix系统对AD进行身份validation。 这在数百个系统中不是可选的; 用户账户pipe理早已成为一个问题。 我们有几个AD实例:一个是所有系统pipe理员帐户应该存在的“pipe理AD”(“MAD”)。 MAD不相信其他域名。 所有其他域(“CAD”,“FAD”,“坏”)都相信MAD。 大多数系统将与CAD,FAD或BAD相关联。 只有内部系统将与MAD相关联。 主要的平台是RHEL,我有5,6,7的混合物.5不会很快消失,尽pipe在不到一年的时间里它会退出RH的支持,但是我仍然得到人口5与AD集成在一起。 任何解决scheme都需要在5,6和7的工作,因为我们不想支持多种方式的做事。 我的主要select(至less是我正在工作的)是Winbind和SSSD。 鉴于两者之间的select,我宁愿SSSD Winbind是“相当古老”。 还有一个要求是“组”和“id”产生的AD信息,因为我们打算使用openssh的“AllowGroups”function来限制login到特定的AD组。 我遵循每一个手册,每一个指导,每一个指导,当它归结于它时,总有一件似乎没有被有效logging的东西阻挡了我。 一般来说,我对unix / linux相当强大,但是我对AD,Kerberos或LDAP不够强大。 出于实验目的,我将从全新安装的ISO(kickstart,一些基本的configuration)开始,在KS中没有设置validation位。 第1步:同步时间。 完成。 第2步:安装/激活oddjob。 完成。 步骤3:确保目标系统有正向和反向DNS条目。 完成。 手动到目前为止,我不能依靠后面的步骤来解决问题。 我会应付的。 步骤4:configurationKerberos。 /etc/krb5.conf的消毒版本: includedir /var/lib/sss/pubconf/krb5.include.d/ [logging] default = FILE:/var/log/krb5libs.log kdc = FILE:/var/log/krb5kdc.log admin_server = FILE:/var/log/kadmind.log [libdefaults] default_realm = CAD.LAB dns_lookup_realm = true dns_lookup_kdc = true ticket_lifetime […]