Linux
SSSD Centos 7 AD Binding - 只有部分使用者能夠登錄
我一直在嘗試確定將 Centos 7 安裝綁定到 Windows 域的過程,但我正在苦苦掙扎。過去我在幾個盒子上成功地做到了這一點,但我現在正試圖記錄這個過程,它正在做非常奇怪的事情。
我已設法使用以下過程執行綁定:
- 安裝和配置ntp
- 安裝包:realmd、oddjob、oddjob-mkhomedir、sssd、samba-common、krb5-workstation、adcli
- 創建 Kerberos 票證:kinit username@MY.DOMAIN
- 領域加入
- 修改sssd配置
[固態硬碟] 域 = my.domain config_file_version = 2 服務 = nss、pam [域/my.domain] ad_domain = my.domain krb5_realm = MY.DOMAIN realmd_tags = 管理系統加入了 adcli cache_credentials = True id_provider = 廣告 krb5_store_password_if_offline = True default_shell = /bin/bash ldap_id_mapping = 真 use_fully_qualified_names = false fallback_homedir = /home/%u@%d access_provider = 廣告 override_homedir = /home/%u override_shell = /bin/bash
- 重啟sssd服務
這在過去是有效的,但由於某種原因,我無法使用我的網路憑據登錄,但是我的同事只能使用他的一個帳戶成功登錄。
當我們將調試添加到 sssd 配置時,日誌文件顯示錯誤:
Could not convert objectSID [MY AD SID HERE] to a UNIX ID它還從 AD 中選擇了我的實際帳戶名稱,因此它絕對是拉資訊。我們在系統上擁有相同的權利,但這沒有任何意義。
關於我還能嘗試什麼的任何建議?
解決的辦法是擴展ldap ldap中可見的id map範圍,我們的廣告很大,看起來預設範圍還不夠大,無法覆蓋範圍內的所有使用者,也就是說只能轉換它可以看到的 objectSID。我的 SID 遠高於我的同事,這就是他能夠登錄但我不能登錄的原因。
解決方案是將以下內容添加到 SSSD.conf 的主要部分
ldap_idmap_default_domain_sid = 域的 SID ldap_idmap_range_min = 200000 ldap_idmap_range_max = 2000200000 ldap_idmap_range_size = 1000000