1 基础知识

1.1 SSSD的简介

SSSD是系统安全服务守护进程的缩写
SSSD是集中式身份管理解决方案的客户端组件
SSSD的服务端支持FreeIPA、389 Directory Server、Microsoft Active Directory、OpenLDAP和其他目录服务器
SSSD提供并缓存在远程目录服务器中的信息、、并向主机提供身份、验证和授权服务

1.2 SSD的作用

SSSD是Linux目录客户端的重要组件
SSSD实现Linux客户端的统一身份管理

2 最佳实践

2.1 安装软件包

apt install -y sssd-ad oddjob-mkhomedir

2.2 扫描环境中的域

realm discover

2.3 计算机加入域

realm join -U admin CMDSCHOOL.ORG

加域之后，你可以使用如下命令验证加域后是否正常，

id will@cmdschool.org

2.4 修改域配置

加域之后，我们建议你使用如下命令增加配置，

echo 'ad_gpo_access_control = disabled' >> /etc/sssd/sssd.conf

以上配置是为了避免登录时候出现以下错误提示，

(2023-10-11 10:19:28): [be[cmdschool.org]] [ad_gpo_access_done] (0x0040): [RID#93] GPO-based access control failed.

配置增加后，整体配置如下，

[sssd]
domains = cmdschool.org
config_file_version = 2
services = nss, pam

[domain/cmdschool.org]
default_shell = /bin/bash
krb5_store_password_if_offline = True
cache_credentials = True
krb5_realm = CMDSCHOOL.ORG
realmd_tags = manages-system joined-with-adcli
id_provider = ad
fallback_homedir = /home/%u@%d
ad_domain = CMDSCHOOL.ORG
use_fully_qualified_names = True
ldap_id_mapping = True
access_provider = ad
ad_gpo_access_control = disabled

然后，你需要使用如下命令重启服务使配置生效，

systemctl restart sssd.service

2.5 配置首次登录自动创建家目录

echo 'session optional        pam_mkhomedir.so skel=/etc/skel umask=077' >> /etc/pam.d/common-session

2.6 登录测试

按下【Ctrl+Alt+F3】按如下格式输入用户名和密码测试，
User: will@cmdschool.org
Password: ******

参阅文档
========================

加域操作
———–
https://sssd.io/docs/ad/ad-provider.html

官方主页
————
https://github.com/SSSD/sssd
https://sssd.io/

非官方实例
———–
https://www.server-world.info/en/note?os=Debian_11&p=realmd