活动目录信任域用户无法使用SSSD conf登录到Linux (SLES )

Question

我们有两个具有可信连接性的域(默认域: example.com和可信域: test.com)，用户无法使用SSSD登录到Linux (SLES)用户。下面是创建的配置文件sssd.conf

    [sssd] 
config_file_version = 2
services = nss, pam
domains = example.com, test.com
debug_level = 9
[nss]
[pam]
[domain/example.com]
ad_domain = example.com
krb5_realm = EXAMPLE.COM
realmd_tags = manages-system joined-with-adcli
cache_credentials = True
id_provider = ad
krb5_store_password_if_offline = True
default_shell = /bin/bash
ldap_id_mapping = False
use_fully_qualified_names = False
fallback_homedir = /home/%u
access_provider = ad
simple_allow_groups = hecad
auto_private_groups = false
ldap_user_gecos = mail
debug_level = 9
[domain/test.com]
ad_domain = test.com
krb5_realm = TEST.COM
realmd_tags = manages-system joined-with-adcli
cache_credentials = True
id_provider = ad
krb5_store_password_if_offline = True
default_shell = /bin/bash
ldap_id_mapping = False
use_fully_qualified_names = False
fallback_homedir = /home/%u
access_provider = ad
simple_allow_groups = trust_group
auto_private_groups = false
ldap_user_gecos = mail
debug_level = 9 

请告诉我，在Linux中登录的可信域用户的任何解决方案(SLES)。

Answer 1

·根据SLES官方文档中给出的理想示例，sssd.conf中缺少一些参数。详情如下：

( a)您已经在您的id_provider中提到了‘id_provider=ad’，但是应该是‘id_provider=ldap’。此外，“ldap_id_mapping”参数被设置为‘false’，而它应该设置为‘ldap_uri’，并将‘ldap_uri’映射到身份提供者AD服务器，即‘ldap_uri=ldap://winsrv.ad.domain.com’。

( b)此外，配置文件中缺少了许多必需的参数，如‘auth_provider’、‘ldap_search_base’和‘ldap_user_home_directory’。

我建议您检查下面的文档链接，然后相应地更改SSSD.conf文件中的参数。

https://www.suse.com/support/kb/doc/?id=000019065

此外，请参阅下面的Linux社区线程讨论，以获得有关此问题的更多见解。它建议升级SAMBA Winbind包，以便从受信任的域/林中检索用户信息。

https://bugzilla.redhat.com/show_bug.cgi?id=1540457