getent passwd不返回AD用户Centos 7 SSSD

Question

我习惯于使用Krb5.conf/ldap.conf/smb.conf和pam.d/authconfig_ac加入windows 2008 r2 AD，并能够将用户列表到

getent passwd

但是在加入了centos 7系统后，我可以很好地登录，但是我看不到AD中能够登录的用户。

我需要看什么才能解决这个问题？我只是在Centos 7上弄湿了脚，并使用join领域加入域。

Answer 1

您的标题显示您正在使用sssd。这里的默认做法是避免枚举用户帐户，因为它可能非常慢。

getent passwd                # lists only local users
getent passwd domain_user    # works as expected

这是在常见问题单中描述的，必要的设置是

[domain/<domainname>]
enumerate = true

添加到sssd.conf文件中

Answer 2

AD与Centos服务器之间必须存在信任关系。我从这里开始，检查AD是否真的允许您从Centos服务器进行查询。

Answer 3

转到/var/lib/sss/gpo_cache并检查是否缓存了GPO。将ID与当前的GPO匹配，您将开始了解谁是允许的。

请注意，SSH访问由终端服务GPO控制。