服务器 Gind.cn
  1. 服务器 Gind.cn
  3. SSO Linux和AD可信域
Intereting Posts
当运行interactivelly或通过cron时,脚本bash无法获得$ PS1或$ – 的区别 如何在Linux RHEL 5.3上find启用SSL的端口或SSL实例? 基于IP地址的DNS答案 错配的主机文件的影响? logintypes8(NetworkCleartext)的数千个4625login失败错误的来源是什么? 将属性添加到Azure Active Directory用户“工作信息”选项卡 IIS 8,webdav和windows文件共享 Solr日志文件在Ubuntu上的位置 在SET OFFLINE期间强制阻止数据库脱机 关于SRVlogging的TLS SBSMonitoring.mdf达到了限制 Vmware服务器:浏览器不加载用户界面 NGinx – PHP / CGI – 没有指定input文件 我在哪里设置ssl时出错? IIS维护页面为多个站点

SSO Linux和AD可信域

在两个AD域之间成功构build了一个单向信任之后,我们无法在可信域中查找/识别用户。

这是我们的用例。

  • AD1:dom1.com(Win2k8 R2) – 单向传出信任到AD2
  • AD2:dom2.com(Win2kr R2) – 来自AD1的单向传入信任
  • Linux1:AD1 / dom1.com的成员
  • 可以查找User1:Linux1> $ id AD1 \ User1 – 确定
  • 无法查找User2 Linux1> $ id AD2 \ User2 – 不行。
  • PAM和SSSD在AD1域内工作正常。

我尝试在sssd.conf(例如[domain / AD2])中添加一个域项,但根本没有帮助。 根据User1的成功查找,Kerberos正常工作。

感谢您的投入,以解决我们的问题。

/etc/sssd/sssd.conf 

[sssd] config_file_version = 2 debug_level = 0 domains = dom1.com, dom2.com services = nss, pam [domain/dom1.com] id_provider = ad access_provider = simple simple_allow_groups = user_group ldap_id_mapping = false enumerate = true [domain/dom2.com] id_provider = ad auth_provider = ad chpass_provider = ad access_provider = simple simple_allow_groups = user_group ldap_id_mapping = false enumerate = true