2.2. 为 SSSD 配置 AD 提供程序


AD 供应商可让 SSSD 使用 LDAP 身份供应商和 Kerberos 身份验证供应商,并对 AD 环境进行优化。

2.2.1. 集成选项概述

Linux 和 Windows 系统为用户和组群使用不同的标识符:
  • Linux 使用用户 ID (UID) 和组 ID (GID)。请参阅 系统管理员 指南中的 管理用户和组。Linux UID 和 GID 符合 POSIX 标准。
  • Windows 使用安全 ID (SID)。
重要
不要在 Windows 和 ActiveActive Directorynbsp;Directory 中使用相同的用户名。
向 Red Hat Enterprise Linux 系统进行身份验证的用户(包括 AD 用户)必须分配有 UID 和 GID。为此,SSSD 提供以下集成选项:
为 AD 用户自动生成新的 UID 和 GID
SSSD 可以使用 AD 用户的 SID 在名为 ID 映射的进程中计算生成 POSIX ID。ID 映射会在 AD 中的 SID 和 Linux 中的 ID 之间创建一个映射。
  • 当 SSSD 检测到新的 AD 域时,它会为新域分配一系列可用 ID。因此,每个 AD 域在每个 SSSD 客户端机器上都有相同的 ID 范围。
  • 当 AD 用户第一次登录 SSSD 客户端机器时,SSSD 在 SSSD 缓存中为用户创建一个条目,包括基于用户的 SID 以及该域的 ID 范围的 UID。
  • 因为 AD 用户的 ID 是以一致的方式从同一 SID 生成,所以用户在登录到任何 Red Hat Enterprise Linux 系统时具有相同的 UID 和 GID。
注意
当所有客户端系统都使用 SSSD 将 SID 映射到 Linux ID 时,映射是一致的。如果有些客户端使用不同的软件,请选择以下之一:
使用 AD 中定义的 POSIX 属性
AD 可以创建并存储 POSIX 属性,如 uidNumbergidNumberunixHomeDirectoryloginShell
使用 为 AD 用户自动生成新的 UID 和 GID 中描述的 ID 映射时,SSSD 会创建新的 UID 和 GID,这将覆盖 AD 中定义的值。要保留 AD 定义的值,必须在 SSSD 中禁用 ID 映射。
Red Hat logoGithubRedditYoutubeTwitter

学习

尝试、购买和销售

社区

关于红帽文档

通过我们的产品和服务,以及可以信赖的内容,帮助红帽用户创新并实现他们的目标。

让开源更具包容性

红帽致力于替换我们的代码、文档和 Web 属性中存在问题的语言。欲了解更多详情,请参阅红帽博客.

關於紅帽

我们提供强化的解决方案,使企业能够更轻松地跨平台和环境(从核心数据中心到网络边缘)工作。

© 2024 Red Hat, Inc.