您好有一个Ubuntu框设置login到AD。
我可以login到AD使用用户名不匹配本地用户名,但是我有一个本地用户名,也存在于AD,我希望能够以该用户login到AD。
我已经尝试了用户@域和域\用户,但都没有工作。 如果我使用没有任何域的“用户”login,那么它在本地login。
/etc/sssd/sssd.conf
[sssd] services = nss, pam config_file_version = 2 domains = AD.HERE.COM.AU [domain/AD.HERE.COM.AU] id_provider = ad access_provider = ad # Use this if users are being logged in at /. # This example specifies /home/DOMAIN-FQDN/user as $HOME. Use with pam_mkhomedir.so override_homedir = /home/%d/%u # Uncomment if the client machine hostname doesn't match the computer object on the DC. # ad_hostname = mymachine.myubuntu.example.com # Uncomment if DNS SRV resolution is not working # ad_server = dc.mydomain.example.com # Uncomment if the AD domain is named differently than the Samba domain # ad_domain = MYUBUNTU.EXAMPLE.COM # Enumeration is discouraged for performance reasons. enumerate = true /etc/nsswitch.conf中
# /etc/nsswitch.conf # # Example configuration of GNU Name Service Switch functionality. # If you have the `glibc-doc-reference' and `info' packages installed, try: # `info libc "Name Service Switch"' for information about this file. passwd: compat sss group: compat sss shadow: compat hosts: files mdns4_minimal [NOTFOUND=return] dns networks: files protocols: db files services: db files ethers: db files rpc: db files netgroup: nis sss sudoers: files sss
authentication源的顺序发生在sssd被查阅之前,由nss。
在/etc/nsswitch.conf中会是这样的:
passwd files sss shadow files sss
反转sss和文件将导致您的系统在本地文件之前查询AD用户信息。 这是否是一个好主意是另外一个问题。
你真的需要一个本地帐户,共享你想使用的AD帐户的名称?
您应该在[domain/AD.HERE.COM.AU]部分将use_fully_qualified_names设置为True 。 这意味着可以将本地帐户与Active Directory帐户区分开来,因为它要求AD用户使用user@domain而不是用户login。