Red Hat Summit 红帽全球峰会支持控制台(Console)开发人员开始试用联系人

3.8. 为 Satellite 配置身份管理和 Active Directory 间的跨林信任

当您的身份管理部署包含与 Active Directory (AD)的跨林信任时,请配置基于主机的访问控制(HBAC)和系统安全服务守护进程(SSSD),使 AD 用户能够登录到 Satellite。

先决条件

流程

在身份管理服务器中:

  1. 启用 HBAC :

    1. 创建一个外部组,并将 AD 组添加到其中。
    2. 将新外部组添加到 POSIX 组。
    3. 在 HBAC 规则中使用 POSIX 组。

在身份管理服务器和身份管理拓扑中的所有副本中,将 SSSD 配置为传输 AD 用户的额外属性:

  1. 将 AD 用户属性添加到 /etc/sssd/sssd.conf 中的 nssdomain 部分。例如: 

    [domain/EXAMPLE.com]
...
krb5_store_password_if_offline = True
ldap_user_extra_attrs=email:mail, lastname:sn, firstname:givenname

[nss]
user_attributes=+email, +firstname, +lastname

[ifp]
allowed_uids = ipaapi, root
user_attributes=+email, +firstname, +lastname

  2. 清除 SSSD 缓存:

    1. 停止 SSSD: 

      # systemctl stop sssd

    2. 清除缓存: 

      # sss_cache -E

    3. 启动 SSSD: 

      # systemctl start sssd

  3. 在 Satellite 服务器和身份管理服务器上使用 dbus-send 命令验证 AD 属性值。确保两个输出都匹配。 

    # dbus-send --print-reply --system --dest=org.freedesktop.sssd.infopipe /org/freedesktop/sssd/infopipe org.freedesktop.sssd.infopipe.GetUserAttr string:ad-user@ad-domain array:string:email,firstname,lastname
Red Hat logoGithubredditYoutubeTwitter

学习

尝试、购买和销售

社区

关于红帽文档

通过我们的产品和服务,以及可以信赖的内容,帮助红帽用户创新并实现他们的目标。 了解我们当前的更新.

让开源更具包容性

红帽致力于替换我们的代码、文档和 Web 属性中存在问题的语言。欲了解更多详情,请参阅红帽博客.

關於紅帽

我们提供强化的解决方案,使企业能够更轻松地跨平台和环境(从核心数据中心到网络边缘)工作。

Theme

© 2026 Red Hat返回顶部