这些步骤来自运行CentOS 6.5的一个盒子。 我只是尝试将RPM软件包转换为CPIO存档文件,并且很惊奇地发现RPM中列出的文件,但是没有存档。 以下是采取的步骤。 在RPM中列出path: $ rpm -qlp sssd-1.9.2-82.4.el6_4.x86_64.rpm | sort > rpm.lst 将RPM转换为CPIO存档: $ rpm2cpio sssd-1.9.2-82.4.el6_4.x86_64.rpm > sssd-1.9.2-82.4.el6_4.x86_64.cpio 保存档案中的文件列表。 sedfilter需要删除path名中的前导点条目。 这不是RPM列表所必需的。 $ cpio -i -t < sssd-1.9.2-82.4.el6_4.x86_64.cpio | sed -e 's|^.||' | sort > cpio.lst 最后,差异显示丢失的文件: $ diff -u cpio.lst rpm.lst — cpio.lst 2015-07-16 19:54:06.020494348 +0530 +++ rpm.lst 2015-07-16 19:53:38.012494371 +0530 @@ -2,6 +2,7 […]
我对使用Active Directory(AD)和Kerberos的Linux服务器是否需要创build计算机帐户感到困惑。 作为一台机器的Linux服务器是否需要join和AD域,并且这样做有一个计算机帐户有AD的authentication/授权服务? 这里有一些要求: 能够使用来自Linux服务器的AD进行基于用户和组成员的身份validation。 能够将本地Linux UID / GID号码映射到AD用户和组名(现在我们使用的是非AD LDAP服务器,并且我们为用户和组帐户保留了UID / GID号码,理想情况下,我想继续这种做法)。 能够将Linux Sudoer权限映射到AD组。 使用开源或社区工具/插件像SSSD,而不是像Centrify这样的付费商业产品。 我很担心在基于私有云的服务器上创build/删除大量的Linux计算机账户的负担,这些服务器可能不会那么长时间; 但我希望使用AD的中央用户帐户存储的好处。 注:我在2008R2function级别使用RHEL和Centos 6-7 Linux服务器和Windows Server 2012 AD。
我有一个运行sssd的Linux域,我们称之为域NJ。 我希望NJ域上的机器能够对位于防火墙后面的不同域(称为NY)上的Active Directory ldap服务器进行身份validation。 只允许两个域之间的端口389是足够的,还是有任何其他端口所需的,以便NJ域上的机器对NY域中的ldap服务器进行身份validation?
感谢您花时间检查我的问题。 我目前正在处理一个以前只出现过一次的问题。 早在1月3日,当第一次出现,我们能够重新启动服务器,一切都很好,但现在又回来了。 这是一个生产数据库系统,所以find一个重启的窗口有时可能很困难。 我希望能够牢牢把握这次实际发生的事情,然后再在几天内重新启动,为这个问题提供另一个临时解决scheme。 开始了… 相关系统的用户身份validation通过Red Hat Directory Server 9通过LDAP进行处理。下面描述的问题只能在这台服务器上看到,即使是对应的共享数据库也不会显示相同的症状。 截至目前,没有LDAP帐户能够validation和login到服务器。 SSSD正在处理LDAPauthentication,目前无法停止或重新启动。 尝试执行SSH控制台无法响应时。 (ctrl-c无法退出发出的命令) PS显示了通常的sssd相关进程正在运行,但试图kill -9他们似乎并没有成功阻止他们中的任何一个。 ps aux | grep sss | grep -v grep root 1150 0.0 0.0 150828 2908 ? D 09:05 0:00 /usr/libexec/sssd/sssd_nss -d 0 –debug-to-files root 7025 0.0 0.0 93616 2504 pts/2 D 16:18 0:00 /usr/sbin/sssd -f -D root 11148 […]
最近,我们更改了我们的LDAP服务器(在Suse Enterprise中运行)的IP地址(并添加了一些组),所以还应该更改我们拥有的所有服务器的ldapauthenticationconfiguration。 大多数服务器都在Centos上。 我们将/etc/sssd/sssd.conf中的ldap_uri参数修改为新的服务器,但是当我们login到服务器并进行: id user 我们获取旧服务器的用户信息,而不是新服务器。 事实上,如果我们将sssd.conf改为使用不存在的ldap_uri,我们仍然从命令id用户获得相同的响应。 authldapconfig – testing说,caching被禁用,我们也试图重新启动服务器和客户端,没有任何工作。 有一些caching的LDAP客户端必须刷新? 注意:在/etc/openldap/ldap.conf中uri被注释掉了。 sssd.conf文件是: [domain/default] ldap_id_use_start_tls = False cache_credentials = True ldap_search_base = dc=maxcrc,dc=com krb5_realm = EXAMPLE.COM krb5_server = kerberos.example.com id_provider = ldap auth_provider = ldap chpass_provider = ldap #ldap_uri = ldap://172.31.7.17/ ldap_uri = ldap://172.31.7.206/ ldap_tls_cacertdir = /etc/openldap/cacerts ldap_tls_reqcert = never ldap_schema = rfc2307bis entry_cache_timeout […]
我准备从CentOS 6最终升级到CentOS 7.现在,在版本6中,我们只是使用LDAP映射到AD进行身份validation。 然后使用Unix的Active Directory扩展中的UID和GID。 在我对CentOS 7的实验中,我查阅了文档(我认为它来自Red Hat),它解释了如何join到域中。 这个过程大多是直截了当的,主要是很好的。 但是,它不仅仅使用AD Unix属性中的UID和GID。 它将这些ID映射到完全不同的ID。 在AD中,用户在10000范围内。 CentOS7给每个用户在625000000范围内的UID。 到目前为止,在我的小规模testing(3盒)中,UID似乎是一致的,这很好。 但是,当我开始在生产中淘汰时,这将是一个逐步的升级。 我不会同时升级每个盒子。 我担心用户在不同的盒子上有不同的UID。 有没有办法让CentOS 7只使用AD Unix属性中的UID和GID? 这是我的smb.conf: [global] workgroup = COMPANY client signing = yes client use spnego = yes kerberos method = secrets and keytab log file = /var/log/samba/%m.log password server = ad_domaincontroller.company.net realm = COMPANY.NET security = ads […]
我们有50台RH-5机器和70台RH-6机器。 我正在寻找决定我们应该用于LDAP的东西: 所有RH-5 / RH-6服务器的nscd / nslcd RH-5服务器使用nscd / nslcd,RH-6服务器使用sssd sssd适用于所有RH-5 / RH-6服务器 SSSD在两个版本上均可用(RHEL5 – sssd 1.5和RHEL6 – sssd 1.9+) 最后一个选项意味着RHEL5机器运行sssd 1.5。 除非有人说sssd对RH-6来说真的更好,而对于RH-5来说nscd / nslcd真的更好,否则我宁愿使用相同软件和configuration的环境。 什么是最好的select?
我试图重buildnwaller的sssd傀儡模块 ,完全基于LDAP,并有点干净。 其中我们有一个为表单的每个validation域定义的资源 define sssd::domain ( $domain = $name, $domain_description = '', $domain_type, $ldap_uri = 'ldap://example.com', $ldap_search_base = 'dc=example,dc=com', $simple_allow_groups, …. ) 然后这个定义作为一个concat::fragment被传递,填充一个模板来构build最终的sssd.conf 。 如果我在每个节点中定义LDAP服务器,这一切都很好,如下所示: nodes.pp node "node1.systems.private" { include "puppet::client" class { 'sssd': domains => [ 'LDAP' ], make_home_dir => true; } sssd::domain { 'LDAP': domain_type => 'ldap', ldap_uri => 'ldaps://ldap.site.com:636', ldap_search_base => 'DC=site,DC=com', […]
我们正在为一些开发人员使用Ubuntu 14.04桌面环境进行试用,并将这些机器连接到了SSSD的域中。 这一直工作正常。 然而,系统认识到域用户为[email protected],因此'ls -l'输出相当混乱。 这也certificate他们有一些testing脚本,用户名硬编码,所以这@ @ DOMAIN.COM打破他们。 有没有办法让SSSD将域用户显示为“username”而不是“[email protected]”? 如果没有,是否有一个系统可以让我做到这一点? 谢谢
我有一个非常类似的问题,就像CentOS 6.3上的这个线程中描述的那样,对2008R2 AD DC进行身份validation。 这里是我的krb5.conf,我知道一个事实XXXXXXX.LOCAL是真正的域名: [logging] default = FILE:/var/log/krb5libs.log kdc = FILE:/var/log/krb5kdc.log admin_server = FILE:/var/log/kadmind.log [libdefaults] default_realm = XXXXXXX.LOCAL dns_lookup_realm = false dns_lookup_kdc = false ticket_lifetime = 24h renew_lifetime = 7d forwardable = true verify_ap_req_nofail = false [realms] XXXXXXX.LOCAL = { kdc = ad1.XXXXXXX.local kdc = ad2.XXXXXXX.local admin_server = ad1.XXXXXXX.local default_domain = XXXXXXX.LOCAL } [domain_realm] […]