如何实现Debian客户端加入AD域?

Debian-Like

1 基础知识

1.1 SSSD的简介

SSSD是系统安全服务守护进程的缩写
SSSD是集中式身份管理解决方案的客户端组件
SSSD的服务端支持FreeIPA、389 Directory Server、Microsoft Active Directory、OpenLDAP和其他目录服务器
SSSD提供并缓存在远程目录服务器中的信息、、并向主机提供身份、验证和授权服务

1.2 SSD的作用

SSSD是Linux目录客户端的重要组件
SSSD实现Linux客户端的统一身份管理

2 最佳实践

2.1 安装软件包

apt install -y sssd-ad oddjob-mkhomedir

2.2 扫描环境中的域

realm discover

2.3 计算机加入域

realm join -U admin CMDSCHOOL.ORG

加域之后,你可以使用如下命令验证加域后是否正常,

id will@cmdschool.org

2.4 修改域配置

加域之后,我们建议你使用如下命令增加配置,

echo 'ad_gpo_access_control = disabled' >> /etc/sssd/sssd.conf

以上配置是为了避免登录时候出现以下错误提示,

(2023-10-11 10:19:28): [be[cmdschool.org]] [ad_gpo_access_done] (0x0040): [RID#93] GPO-based access control failed.

配置增加后,整体配置如下,

[sssd]
domains = cmdschool.org
config_file_version = 2
services = nss, pam

[domain/cmdschool.org]
default_shell = /bin/bash
krb5_store_password_if_offline = True
cache_credentials = True
krb5_realm = CMDSCHOOL.ORG
realmd_tags = manages-system joined-with-adcli
id_provider = ad
fallback_homedir = /home/%u@%d
ad_domain = CMDSCHOOL.ORG
use_fully_qualified_names = True
ldap_id_mapping = True
access_provider = ad
ad_gpo_access_control = disabled

然后,你需要使用如下命令重启服务使配置生效,

systemctl restart sssd.service

2.5 配置首次登录自动创建家目录

echo 'session optional        pam_mkhomedir.so skel=/etc/skel umask=077' >> /etc/pam.d/common-session

2.6 登录测试

按下【Ctrl+Alt+F3】按如下格式输入用户名和密码测试,
User: will@cmdschool.org
Password: ******

参阅文档
========================

加域操作
———–
https://sssd.io/docs/ad/ad-provider.html

官方主页
————
https://github.com/SSSD/sssd
https://sssd.io/

非官方实例
———–
https://www.server-world.info/en/note?os=Debian_11&p=realmd

没有评论

发表回复

Debian-Like
如何配置Ubuntu的默认桌面?

1 前言 本章针对Ubuntu的系统环境配置VNC,如有需要请参阅下文。 2 实践部分 2.1 安装 …

Debian-Like
如何部署Debian sublime-text平替notepad++

1 前言 一个问题,一篇文章,一出故事。 办公系统环境早已放弃使用Windows客户端系统,因此需要 …

Debian-Like
如何部署Ubuntu Apache Directory Studio?

1 前言 一个问题,一篇文章,一出故事。 由于笔者需要访问LDAP服务器,所以需要安装一个LDAP的 …