Active Directory作为集群中的uid/gid提供程序

Question

我有一个带有登录节点的CentOS 8 HPC集群设置，该节点通过sssd/kerberos连接到活动目录。只有登录节点可以从用户网络访问。用户使用其正常域帐户访问登录节点。所有集群流量都在一个单独的网络中，该网络通过登录节点路由。

在内部，集群使用SSH密钥进行身份验证。但是，到目前为止，这只适用于passwd中列出的集群本地用户。现在，我希望登录节点提供uid/gid到集群中计算节点的AD用户映射。也就是说，AD用户使用AD帐户/ kerberos登录到登录节点，并在集群中使用SSH密钥。

什么是最好的方式来存档这个？我考虑在登录节点上使用LDAP服务器复制AD用户，然后将他们提供给集群节点。集群是无状态的，因此在启动时在每个节点上使用sssd/kerberos连接域似乎不是一个选项。

Answer 1

在尝试了不同的方法之后，我找到了一个适合我的解决方案。我将sssd配置为在节点上使用AD作为ldap提供程序。使用obfuscated_password，无需加入域即可工作。我的sssd.conf现在看起来是这样的：

[sssd]
config_file_version = 2
services = nss, pam, ssh
domains = domain.com
full_name_format = %1$s

[domain/domain.com]
id_provider = ldap
auth_provider= ldap
cache_credentials = True
ldap_uri = ldap://ad.domain.com:389
ldap_search_base = DC=domain,DC=com
ldap_schema = ad
ldap_user_search_base = OU=...,DC=domain,DC=com
ldap_default_bind_dn = CN=user,OU=...,DC=domain,DC=com
ldap_default_authtok_type = obfuscated_password
ldap_default_authtok = xxxxxxx
ldap_tls_cacert = /etc/pki/tls/cert.pem
ldap_tls_reqcert = allow
ldap_id_mapping = True
ldap_referrals = False
ldap_user_extra_attrs = altSecurityIdentities:altSecurityIdentities
ldap_user_ssh_public_key = altSecurityIdentities
ldap_use_tokengroups = True
ldap_user_name = sAMAccountName
ldap_group_name = sAMAccountName
default_shell = /bin/bash
fallback_homedir = /home/%u@%d
override_homedir = /home/%u@%d