2.2. 为 SSSD 配置 AD 提供程序
AD 供应商可让 SSSD 使用 LDAP 身份供应商和 Kerberos 身份验证供应商,并对 AD 环境进行优化。
2.2.1. 集成选项概述
Linux 和 Windows 系统为用户和组群使用不同的标识符:
- Linux 使用用户 ID (UID) 和组 ID (GID)。请参阅 系统管理员 指南中的 管理用户和组。Linux UID 和 GID 符合 POSIX 标准。
- Windows 使用安全 ID (SID)。
重要
不要在 Windows 和 ActiveActive Directorynbsp;Directory 中使用相同的用户名。
向 Red Hat Enterprise Linux 系统进行身份验证的用户(包括 AD 用户)必须分配有 UID 和 GID。为此,SSSD 提供以下集成选项:
- 为 AD 用户自动生成新的 UID 和 GID
- SSSD 可以使用 AD 用户的 SID 在名为 ID 映射的进程中计算生成 POSIX ID。ID 映射会在 AD 中的 SID 和 Linux 中的 ID 之间创建一个映射。
- 当 SSSD 检测到新的 AD 域时,它会为新域分配一系列可用 ID。因此,每个 AD 域在每个 SSSD 客户端机器上都有相同的 ID 范围。
- 当 AD 用户第一次登录 SSSD 客户端机器时,SSSD 在 SSSD 缓存中为用户创建一个条目,包括基于用户的 SID 以及该域的 ID 范围的 UID。
- 因为 AD 用户的 ID 是以一致的方式从同一 SID 生成,所以用户在登录到任何 Red Hat Enterprise Linux 系统时具有相同的 UID 和 GID。
注意当所有客户端系统都使用 SSSD 将 SID 映射到 Linux ID 时,映射是一致的。如果有些客户端使用不同的软件,请选择以下之一:- 确定所有客户端都使用相同的映射算法。
- 使用显式 POSIX 属性,如 使用 AD 中定义的 POSIX 属性 所述。
- 使用 AD 中定义的 POSIX 属性
- AD 可以创建并存储 POSIX 属性,如
uidNumber
、gidNumber
、unixHomeDirectory
或loginShell
。使用 为 AD 用户自动生成新的 UID 和 GID 中描述的 ID 映射时,SSSD 会创建新的 UID 和 GID,这将覆盖 AD 中定义的值。要保留 AD 定义的值,必须在 SSSD 中禁用 ID 映射。