第 1 章 使用 SSSD 将 RHEL 系统直接连接到 AD

您可以使用 SSSD 访问用户目录用于身份验证和授权，并通过带有用户缓存的通用框架进以允许离线登录。SSSD 是高度可配置的；它提供了可插拔验证模块(PAM)和名称交换服务(NSS)集成和数据库，用于存储本地用户以及从中央服务器检索的扩展用户数据。在把 RHEL 系统与以下身份服务器类型之一连接时，推荐使用 SSSD：

配置 SSSD 以将 Linux 系统直接与 AD 集成的最便捷方法是使用 realmd 服务。它允许调用者以标准的方式配置网络身份验证和域成员资格。realmd 服务自动发现有关可访问 domain 和 realm 的信息，且不需要高级配置就可以加入到 domain 和 realm。

您可以使用 SSSD 与 AD 直接和间接集成，并允许您从一个集成方法切换到另一个集成方法。直接集成是将 RHEL 系统引入 AD 环境的简单方法。但是，随着 RHEL 系统的共享增加，您的部署通常需要更好地管理与身份相关的策略，如基于主机的访问控制、sudo 或 SELinux 用户映射。在初始阶段，您可以在本地配置文件中维护 RHEL 系统的这些配置。但是，在有大量系统的情况下，使用一个置备系统（如 Red Hat Satellite）可以使对配置文件进行分发和管理的任务变得更为容易。当直接集成不再可以满足环境扩展的要求时，应该考虑使用间接集成。有关从直接集成(RHEL 客户端位于 AD 域中)移到间接集成（具有信任 AD 的 IdM）的更多信息，请参阅 将 RHEL 客户端从 AD 域移到 IdM 服务器。