搜索

第 1 章 使用 SSSD 将 RHEL 系统直接连接到 AD

download PDF

您需要两个组件才能将 RHEL 系统连接到 Active Directory(AD)。一个组件 (SSSD) 与中央身份和验证源交互,另一个组件 (realmd) 会检测到可用的域并配置底层 RHEL 系统服务,以连接到域。

这部分论述了使用系统安全服务守护进程 (SSSD) 将 RHEL 系统连接到 Active Directory (AD)。

1.1. 使用 SSSD 直接集成概述

您可以使用 SSSD 访问用户目录用于身份验证和授权,并通过带有用户缓存的通用框架进以允许离线登录。SSSD 是高度可配置的;它提供了可插拔验证模块(PAM)和名称交换服务(NSS)集成和数据库,用于存储本地用户以及从中央服务器检索的扩展用户数据。在把 RHEL 系统与以下身份服务器类型之一连接时,推荐使用 SSSD:

  • Active Directory
  • RHEL 中的身份管理(IdM)
  • 任何通用 LDAP 或 Kerberos 服务器
注意

默认情况下,直接与 SSSD 集成在一个 AD 林中正常工作。

配置 SSSD 以将 Linux 系统直接与 AD 集成的最便捷方法是使用 realmd 服务。它允许调用者以标准的方式配置网络身份验证和域成员资格。realmd 服务自动发现有关可访问 domain 和 realm 的信息,且不需要高级配置就可以加入到 domain 和 realm。

您可以使用 SSSD 与 AD 直接和间接集成,并允许您从一个集成方法切换到另一个集成方法。直接集成是将 RHEL 系统引入 AD 环境的简单方法。但是,随着 RHEL 系统的共享增加,您的部署通常需要更好地管理与身份相关的策略,如基于主机的访问控制、sudo 或 SELinux 用户映射。在初始阶段,您可以在本地配置文件中维护 RHEL 系统的这些配置。但是,在有大量系统的情况下,使用一个置备系统(如 Red Hat Satellite)可以使对配置文件进行分发和管理的任务变得更为容易。当直接集成不再可以满足环境扩展的要求时,应该考虑使用间接集成。有关从直接集成(RHEL 客户端位于 AD 域中)移到间接集成(带有到 AD 的信任的 IdM)的更多信息,请参阅 将 RHEL 客户端从 AD 域移到 IdM 服务器。

重要

如果 IdM 处于 FIPS 模式,IdM-AD 集成无法正常工作,因为 AD 只支持使用 RC4 或 AES HMAC-SHA1 加密,而 RHEL 9 在 FIPS 模式下默认只允许 AES HMAC-SHA2。要在 RHEL 9 中能够使用 AES HMAC-SHA1,请输入 # update-crypto-policies --set FIPS:AD-SUPPORT

IdM 不支持更严格的 FIPS:OSPP 加密策略,该策略只能在通用标准评估的系统上使用。

有关哪个类型的集成适合您的用例的更多信息,请参阅在间接集成和直接集成之间做决定

其他资源

  • 您系统上的 realm (8 )、sssd-ad (5)sssd (8) 手册页
Red Hat logoGithubRedditYoutubeTwitter

学习

尝试、购买和销售

社区

关于红帽文档

通过我们的产品和服务,以及可以信赖的内容,帮助红帽用户创新并实现他们的目标。

让开源更具包容性

红帽致力于替换我们的代码、文档和 Web 属性中存在问题的语言。欲了解更多详情,请参阅红帽博客.

關於紅帽

我们提供强化的解决方案,使企业能够更轻松地跨平台和环境(从核心数据中心到网络边缘)工作。

© 2024 Red Hat, Inc.