2.2.2. 使用 ID 映射配置 AD 域作为 SSSD 的提供程序
先决条件
确保 AD 系统和 Linux 系统都已正确配置:
- 验证名称解析配置。特别是,验证 DNS SRV 记录。例如,对于名为
ad.example.com的域:- 验证 DNS SRV LDAP 记录:
# dig -t SRV _ldap._tcp.ad.example.com
- 验证 AD 记录:
# dig -t SRV _ldap._tcp.dc._msdcs.ad.example.com
如果您稍后将 SSSD 连接到特定的 AD 域控制器,则不需要验证 DNS SRV 记录。 - 验证两个系统上的系统时间是否同步。这样可确保 Kerberos 能够正常工作。
- 确保 AD 域控制器上的以下端口已打开并可以被 RHEL 主机访问。
表 2.1. 使用 SSSD 将 Linux 系统直接集成到 AD 所需的端口 服务 端口 协议 备注 DNS 53 UDP 和 TCP LDAP 389 UDP 和 TCP Kerberos 88 UDP 和 TCP Kerberos 464 UDP 和 TCP kadmin 用来设置和更改密码 LDAP 全局目录 3268 TCP 如果使用 id_provider = ad选项NTP 123 UDP 可选 Samba 445 UDP 和 TCP 对于 AD 组策略对象 (GPO)
配置本地系统
# realm join ad.example.com
如果您不想使用
realmd,您可以手动配置系统。请参阅在 Red Hatnbsp 中手动将 SSSD 客户端连接到 Active Directory 域;Hat Knowledgebase.
可选:配置用户主目录和 Shell
当用户首次登录 Linux
系统时,pam_oddjob_mkhomedir.so 库会自动创建主目录。默认情况下,SSSD 从 AD 身份提供程序检索主目录的格式。在 Linux 客户端中自定义目录格式:
- 打开
/etc/sssd/sssd.conf文件: - 在
[domain]部分,使用以下选项之一:fallback_homedir设置回退主目录格式,只有在 AD 中未定义主目录时才使用override_homedir设置主目录模板,始终覆盖 AD 中定义的主目录
例如,要始终使用格式/home/domain_name/user_name:[domain/EXAMPLE] [... file truncated ...]
override_homedir = /home/%d/%u详情请查看 sssd.conf(5) man page。
默认情况下,SSSD 从 AD 中配置的
loginShell 参数检索用户 shell 的信息。在 Linux 客户端中自定义用户 shell 设置:
- 打开
/etc/sssd/sssd.conf文件: - 使用这些选项定义所需的用户 shell 设置:
shell_fallback设置回退值,仅在 AD 中没有定义 shell 时才使用override_shell设置始终覆盖 AD 中定义的 shell 的值default_shell设置默认 shell 值allowed_shells和vetoed_shells设置允许或黑名单的 shell 列表
详情请查看 sssd.conf(5) man page。
加载新配置
- 更改配置文件后重启 SSSD。
# systemctl restart sssd.service
其它资源
- 有关 LDAP 和 Kerberos 供应商的其它配置选项请查看 sssd-ldap(5) 和 sssd-krb5(5) man page。
- 有关 AD 供应商的其它配置选项请查看 sssd-ad(5) man page。
