如何实现Debian客户端加入AD域?
- By : Will
- Category : Debian-Like
1 基础知识
1.1 SSSD的简介
SSSD是系统安全服务守护进程的缩写
SSSD是集中式身份管理解决方案的客户端组件
SSSD的服务端支持FreeIPA、389 Directory Server、Microsoft Active Directory、OpenLDAP和其他目录服务器
SSSD提供并缓存在远程目录服务器中的信息、、并向主机提供身份、验证和授权服务
1.2 SSD的作用
SSSD是Linux目录客户端的重要组件
SSSD实现Linux客户端的统一身份管理
2 最佳实践
2.1 安装软件包
apt install -y sssd-ad oddjob-mkhomedir
2.2 扫描环境中的域
realm discover
2.3 计算机加入域
realm join -U admin CMDSCHOOL.ORG
加域之后,你可以使用如下命令验证加域后是否正常,
id will@cmdschool.org
2.4 修改域配置
加域之后,我们建议你使用如下命令增加配置,
echo 'ad_gpo_access_control = disabled' >> /etc/sssd/sssd.conf
以上配置是为了避免登录时候出现以下错误提示,
(2023-10-11 10:19:28): [be[cmdschool.org]] [ad_gpo_access_done] (0x0040): [RID#93] GPO-based access control failed.
配置增加后,整体配置如下,
[sssd] domains = cmdschool.org config_file_version = 2 services = nss, pam [domain/cmdschool.org] default_shell = /bin/bash krb5_store_password_if_offline = True cache_credentials = True krb5_realm = CMDSCHOOL.ORG realmd_tags = manages-system joined-with-adcli id_provider = ad fallback_homedir = /home/%u@%d ad_domain = CMDSCHOOL.ORG use_fully_qualified_names = True ldap_id_mapping = True access_provider = ad ad_gpo_access_control = disabled
然后,你需要使用如下命令重启服务使配置生效,
systemctl restart sssd.service
2.5 配置首次登录自动创建家目录
echo 'session optional pam_mkhomedir.so skel=/etc/skel umask=077' >> /etc/pam.d/common-session
2.6 登录测试
按下【Ctrl+Alt+F3】按如下格式输入用户名和密码测试,
User: will@cmdschool.org
Password: ******
参阅文档
========================
加域操作
———–
https://sssd.io/docs/ad/ad-provider.html
官方主页
————
https://github.com/SSSD/sssd
https://sssd.io/
非官方实例
———–
https://www.server-world.info/en/note?os=Debian_11&p=realmd
没有评论