第 1 章 使用 SSSD 将 RHEL 系统直接连接到 AD
您需要两个组件才能将 RHEL 系统连接到 Active Directory(AD)。一个组件 (SSSD) 与中央身份和验证源交互,另一个组件 (realmd
) 会检测到可用的域并配置底层 RHEL 系统服务,以连接到域。
这部分论述了使用系统安全服务守护进程 (SSSD) 将 RHEL 系统连接到 Active Directory (AD)。
1.1. 使用 SSSD 直接集成概述
您可以使用 SSSD 访问用户目录用于身份验证和授权,并通过带有用户缓存的通用框架进以允许离线登录。SSSD 是高度可配置的;它提供了可插拔验证模块(PAM)和名称交换服务(NSS)集成和数据库,用于存储本地用户以及从中央服务器检索的扩展用户数据。在把 RHEL 系统与以下身份服务器类型之一连接时,推荐使用 SSSD:
- Active Directory
- RHEL 中的身份管理(IdM)
- 任何通用 LDAP 或 Kerberos 服务器
默认情况下,直接与 SSSD 集成在一个 AD 林中正常工作。
配置 SSSD 以将 Linux 系统直接与 AD 集成的最便捷方法是使用 realmd
服务。它允许调用者以标准的方式配置网络身份验证和域成员资格。realmd
服务自动发现有关可访问 domain 和 realm 的信息,且不需要高级配置就可以加入到 domain 和 realm。
您可以使用 SSSD 与 AD 直接和间接集成,并允许您从一个集成方法切换到另一个集成方法。直接集成是将 RHEL 系统引入 AD 环境的简单方法。但是,随着 RHEL 系统的共享增加,您的部署通常需要更好地管理与身份相关的策略,如基于主机的访问控制、sudo 或 SELinux 用户映射。在初始阶段,您可以在本地配置文件中维护 RHEL 系统的这些配置。但是,在有大量系统的情况下,使用一个置备系统(如 Red Hat Satellite)可以使对配置文件进行分发和管理的任务变得更为容易。当直接集成不再可以满足环境扩展的要求时,应该考虑使用间接集成。有关从直接集成(RHEL 客户端位于 AD 域中)移到间接集成(带有到 AD 的信任的 IdM)的更多信息,请参阅 将 RHEL 客户端从 AD 域移到 IdM 服务器。
如果 IdM 处于 FIPS 模式,IdM-AD 集成无法正常工作,因为 AD 只支持使用 RC4 或 AES HMAC-SHA1 加密,而 RHEL 9 在 FIPS 模式下默认只允许 AES HMAC-SHA2。要在 RHEL 9 中能够使用 AES HMAC-SHA1,请输入 # update-crypto-policies --set FIPS:AD-SUPPORT
。
IdM 不支持更严格的 FIPS:OSPP
加密策略,该策略只能在通用标准评估的系统上使用。
有关哪个类型的集成适合您的用例的更多信息,请参阅在间接集成和直接集成之间做决定。
其他资源
-
您系统上的
realm (8
)、sssd-ad (5)
和sssd (8)
手册页