文档建议反馈控制台
首页
学习
活动
专区
圈层
工具
MCP广场
文章/答案/技术大牛
发布
社区首页 >问答首页 >两个AD域的Linux

两个AD域的Linux
EN

Server Fault用户
提问于 2017-09-26 14:46:34
回答 2查看 10.7K关注 0票数 1

我将Centos Box加入到Windows域

代码语言:javascript
复制
realm join --user=DomUser dom2.local

没有任何问题。域拥有与Dom1的单向信任关系.我们的Windows用户可以:

  • 使用Dom1/User登录到Dom1/Host
  • 使用Dom1/User登录到Dom2/Host
  • 使用Dom2/User登录到Dom2/Host

在我们的Linux框上(在Dom2中),只有Dom2/用户可以登录。我在网上找到了一些证据,可以用两个域配置sssd,所以我在sssd配置中添加了一个块:

代码语言:javascript
复制
# cat /etc/sssd/sssd.conf 
[sssd]
domains = dom1.local, dom2.local
config_file_version = 2
services = nss, pam

[domain/dom1.local]
ad_domain = dom1.local
krb5_realm = DOM1.LOCAL
realmd_tags = manages-system joined-with-samba 
cache_credentials = True
id_provider = ad
krb5_store_password_if_offline = True
default_shell = /bin/bash
ldap_id_mapping = True
use_fully_qualified_names = True
fallback_homedir = /home/%u@%d
access_provider = ad
enumerate = True


[domain/dom2.local]
ad_domain = dom2.local
krb5_realm = DOM2.LOCAL
realmd_tags = manages-system joined-with-samba 
#cache_credentials = True
cache_credentials = False
id_provider = ad
krb5_store_password_if_offline = True
default_shell = /bin/bash
ldap_id_mapping = True
use_fully_qualified_names = True
fallback_homedir = /home/%u@%d
access_provider = ad
enumerate = True

现在,如果我尝试与Dom2用户登录,我会得到以下内容:

代码语言:javascript
复制
pam_sss(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=host.dom1.local user=user@dom2.local
pam_sss(sshd:auth): received for user user@dom2.local: 6 (Permission denied)
Failed password for user@dom2.local from 10.10.0.10 port 34442 ssh2

有人用sssd成功地配置了两个AD域吗?或者知道怎么做吗?

Edit1:

使用getent passwd,我可以看到来自两个域的所有用户,并且两者都是:

代码语言:javascript
复制
id user1@dom1.local
id user2@dom2.local

也要工作。

sssd
linux
centos
active-directory
kerberos
EN

回答 2

Server Fault用户

发布于 2021-04-08 15:33:41

好的,这是一个旧的线索,但我认为它对我们中的一些人是有用的。

如果要对多个域使用sssd,则必须这样做:

来自https://access.redhat.com/solutions/4035171

在领域联接命令之后,将另一个域从另一个林中添加到/etc/krb5.conf的域名_境界部分:

代码语言:javascript
复制
.dom1.local = DOM1.LOCAL
dom1.local = DOM1.LOCAL

然后加入域dom1.local:

代码语言:javascript
复制
adcli join --host-keytab=/etc/krb5.keytab.dom1.local dom1.local

更改sssd.conf如下:

代码语言:javascript
复制
[sssd]
domains = dom2.local,dom1.local
...
[domain/testing.com]
ad_domain = dom1.local
krb5_realm = DOM1.LOCAL
realmd_tags = manages-system joined-with-samba 
cache_credentials = True
id_provider = ad
krb5_store_password_if_offline = True
default_shell = /bin/bash
ldap_id_mapping = True
use_fully_qualified_names = False
fallback_homedir = /home/%u@%d
access_provider = ad
timeout = 3600
krb5_keytab = /etc/krb5.keytab.dom1.local
ldap_krb5_keytab = /etc/krb5.keytab.dom1.local

并重新启动sssd:systemctl restart sssd

票数 1
EN

Server Fault用户

发布于 2017-10-07 16:27:43

您确实需要启用sssd日志并查看那里,请参阅https://docs.pagure.org/SSSD.sssd/users/troubleshooting.html

通常,当sssd由于无法到达的服务器之一切换到脱机模式时,PAM会在auth期间返回错误6。

票数 0
EN
页面原文内容由Server Fault提供。腾讯云小微IT领域专用引擎提供翻译支持
原文链接:

https://serverfault.com/questions/875568

复制
相关文章

相似问题

领券

腾讯云开发者

扫码关注腾讯云开发者

扫码关注腾讯云开发者

领取腾讯云代金券

热门产品

热门推荐

更多推荐

Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有 

深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 粤公网安备44030502008569号

腾讯云计算(北京)有限责任公司 京ICP证150476号 |  京ICP备11018762号

问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档