5.6. 将身份管理或 SSSD 限制为受信任的 Active Directory 域中的选定 Active Directory 服务器或站点
作为管理员,您可以在可信 Active Directory 域中禁用自动发现 Active Directory 服务器和站点,并手动列出服务器、站点或两者,以便您可以限制 SSSD 与之通信的 Active Directory 服务器列表。例如,这可让您避免联系无法访问的网站。
5.6.1. 配置 SSSD 以联系特定活动目录服务器
这个步骤描述了通过编辑
/etc/sssd/sssd.conf 文件手动设置 SSSD 连接到的 Active Directory 服务器。
注意事项
- 如果您的 SSSD 客户端直接加入 Active Directory 域,请对所有客户端执行此步骤。在这个设置中,限制 Active Directory 域控制器(DC)或站点也会将 SSSD 客户端配置为连接到特定服务器或站点进行身份验证。
- 如果您的 SSSD 客户端位于与 Active Directory 信任的身份管理域中,则仅在身份管理服务器上执行此步骤。在此设置中,限制 Active Directory DC 或站点不会将身份管理客户端配置为连接到特定服务器或站点以进行身份验证。虽然可信 Active Directory 用户和组通过身份管理服务器解析,但身份验证直接针对 Active Directory DC 执行。从 Red Hat Enterprise Linux 7.6 和 sssd-1.16.2-5.el7 开始,您可以在 IdM 客户端中使用 SSSD 使用
ad_server和ad_site选项的特定 AD 服务器或站点。在之前的 Red Hat Enterprise Linux 7 版本中,通过在客户端上的/etc/krb5.conf文件中定义所需的 Active Directory DC 来限制身份验证。
流程
- 确保受信任的域在
sssd.conf中有一个单独的[domain]部分。可信域部分的标题遵循此模板:[domain/main_domain/trusted_domain]
例如:[domain/idm.example.com/ad.example.com]
- 编辑
sssd.conf文件,以列出 Active Directory 服务器或您要连接到的站点的主机名。使用ad_server,以及 Active Directory 服务器的ad_server_backup选项(可选)。在 Active Directory 站点使用ad_site选项。有关这些选项的详情请参考 sssd-ad(5) man page。例如:[domain/idm.example.com/ad.example.com]
ad_server = dc1.ad.example.com - 重启 SSSD。
# systemctl restart sssd.service - 要在 SSSD 客户端上,通过配置的服务器或站点以 Active Directory 用户身份解析或身份验证。例如:
# id ad_user@ad.example.com
如果您无法解析用户或验证,请使用这些步骤排除此问题:
- 在
sssd.conf的常规[domain]部分,将debug_level选项设置为9。 - 检查
/var/log/sssd/ 中的SSSD 日志,以查看 SSSD 联系了哪些服务器。
其它资源
- 有关您可以在
sssd.conf的可信域部分使用的选项列表,请查看 sssd.conf(5) man page 中的 TRUSTEDSECTION。
