我已经使用文档HEREconfiguration了RHEL7实例来支持Active Directorylogin集成。 这里描述了使用“ realm ”命令configuration允许AD集成的“ sssd ”服务。
我已经使用以下命令通过realmdconfigurationrealmd :
realm join usw.example.com -U myusername realm deny --all realm permit --groups "usw.example.com\\Linux Admins"
然后,我可以用“ [email protected] ”login到“ USW\Linux Admins ”AD组中的“ uswuser ”。 RHEL7盒子(当然)在AD中显示为一个计算机帐户。
我还想授予用户在我们的“ use.example.com ”(注意US E而不是US W )域访问此框的权限:
[root@oel7template ~]# realm permit "[email protected]" --verbose ! Invalid login argument '[email protected]' does not match the login format. realm: Couldn't change permitted logins: Invalid login argument '[email protected]' does not match the login format.
我也尝试过其他的变体,比如“ use.example.com\\useuser ”。 我假设这个命令失败,因为除了USE.EXAMPLE.COM域之外,RHEL7服务器还没有连接到USW.EXAMPLE.COM域。 我可以为use.wlgore.com做一个“ realm join' ,但是会创build两个不同的计算机帐户,这是不可取的。
是否有可能configurationLinux身份validation以类似于传统Windows服务器的方式工作? 也就是说,服务器在一个子域中有一个计算机帐户,但可以对任何其他域进行身份validation。 例如,将此RHEL7服务器join“ usw.example.com ”,同时授予访问“ use.example.com\useuser ”的权限?
请让我知道,如果你看到这个架构的任何其他问题。 有可能是我错过了一些基本的东西。
通过/etc/sssd/sssd.conf添加到/etc/sssd/sssd.conf解决了这个问题:
subdomain_enumerate = all
我想我应该完全阅读手册页( man sssd.conf )。
如果subdomain_enumerate有窍门,我会很惊讶。 该选项只能对显示子域用户的“getent passwd”有效。
你可以做的是打开sssd.conf文件并手动添加用户到simple_allow_users或者simple_allow_groups列表。 AFAIK的问题是realmd不支持允许子域用户的FQDN表示法。