如何实现Oracle Linux 9.x客户端加入AD域?

目录或认证服务

1 基础知识

1.1 SSSD的简介

SSSD是系统安全服务守护进程的缩写
SSSD是集中式身份管理解决方案的客户端组件
SSSD的服务端支持FreeIPA、389 Directory Server、Microsoft Active Directory、OpenLDAP和其他目录服务器
SSSD提供并缓存在远程目录服务器中的信息、、并向主机提供身份、验证和授权服务

1.2 SSD的作用

SSSD是Linux目录客户端的重要组件
SSSD实现Linux客户端的统一身份管理

2 最佳实践

2.1 配置SSSD服务

2.1.1 安装软件包

dnf install -y sssd-ad realmd oddjob-mkhomedir

2.1.2 扫描环境中的域

realm discover

2.1.3 计算机加入域

realm join -U admin cmdschool.org

加域之后,你可以使用如下命令验证加域后是否正常,

id will@cmdschool.org

2.1.4 修改域配置

加域之后,我们建议你使用如下命令增加配置,

echo 'ad_gpo_access_control = disabled' >> /etc/sssd/sssd.conf

配置增加后,整体配置如下,

[sssd]
domains = cmdschool.org
config_file_version = 2
services = nss, pam

[domain/cmdschool.org]
default_shell = /bin/bash
krb5_store_password_if_offline = True
cache_credentials = True
krb5_realm = CMDSCHOOL.ORG
realmd_tags = manages-system joined-with-adcli
id_provider = ad
fallback_homedir = /home/%u@%d
ad_domain = CMDSCHOOL.ORG
use_fully_qualified_names = True
ldap_id_mapping = True
access_provider = ad
ad_gpo_access_control = disabled

然后,你需要使用如下命令重启服务使配置生效,

systemctl restart sssd.service

2.1.5 配置首次登录自动创建家目录

echo 'session optional        pam_mkhomedir.so skel=/etc/skel umask=077' >> /etc/pam.d/common-session

2.2 测试配置

2.2.1 终端登录测试

按下【Ctrl+Alt+F3】按如下格式输入用户名和密码测试,
User: will@cmdschool.org
Password: ******

2.2.2 使用SSH客户端登录测试

ssh -l will@cmdschool.org localhost

参阅文档
========================

加域操作
———–
https://sssd.io/docs/ad/ad-provider.html

官方主页
————
https://github.com/SSSD/sssd
https://sssd.io/

非官方实例
———–
https://www.server-world.info/en/note?os=Debian_11&p=realmd

没有评论

发表回复

目录或认证服务
如何解决SSSD的用户条目的UPN与PAC不匹配问题?

1 前言 一个问题,一篇文章,一出故事。 今天遇到域用户输入正确的用户名和密码不能登录问题,详细错误 …

目录或认证服务
如何解决SSSD的多域用户ID冲突问题?

1 前言 一个问题,一篇文章,一出故事。 笔者在生产环境中遇到SSSD因为同时使用两个不同的域导致U …

目录或认证服务
如何部署Oracle Linux 9.x simpleSAMLphp 2.1.3?

1 基础知识 1.1 断言的基本概念 1.1.1 断言的介绍 – 断言即assertio …