RHEL 6- SSSD ldap_id_mapping = False

Question

在下面的场景中寻找您的帮助

场景-我的身份验证使用两个域(我们在域1和域2之间有信任)。我们将服务器从domain1迁移到domain2。

域1已启用POSIX，而不是域2。

我是否可以为第一个域设置“ldap_id_mapping = True”，为第二个域设置ldap_id_mapping = False。

下面是我的sssd.conf文件。请建议

[sssd]
domains = domain2.com
config_file_version = 2
services = nss, pam
default_domain_suffix = domain1.com

[domain/domain2.com]
ad_domain = domain2.com
krb5_realm = domain2.com
realmd_tags = manages-system joined-with-samba
cache_credentials = True
id_provider = ad
krb5_store_password_if_offline = True
default_shell = /bin/bash
ldap_id_mapping =true
use_fully_qualified_names = True
fallback_homedir = /home/%u@%d
access_provider = ad
debug_level = 9

[domain/domain1.com]
ad_domain = domain1.com
krb5_realm = domain1.com
realmd_tags = manages-system joined-with-samba
cache_credentials = True
id_provider = ad
krb5_store_password_if_offline = True
default_shell = /bin/bash
ldap_id_mapping = False
use_fully_qualified_names = True
fallback_homedir = /home/%u@%d
access_provider = ad

Answer 1

是的，这应该是可行的，因为如果在配置文件中单独定义的话，域之间没有任何关系。但是请注意，如果这两个域相互信任，那么sssd的子域提供程序将自动发现另一个域。在这种情况下，您可能希望通过将子域提供程序设置为配置文件中的“none”来禁用子域提供程序。根据您的版本(以及版本是否有ad_enabled_domains )，您可能还需要设置域SID，因为至少对于启用ID映射的域是这样的。这是因为通过ID映射，SSSD需要知道域SID，而子域提供程序也发现主域SID (是的，混淆命名.)

(编辑:我刚刚注意到你明确地说你在使用RHEL-6。在那里，ad_enabled_domains只能在RHEL-6.9中使用)