將 AD 組映射到 Linux 組 - sssd 和 Windows server 2016

我有一個連接到在 Windows Server 2016 Datacenter Edition 上執行的 Active Directory (AD) 的 RHEL 7.4 機器的設置。Linux 機器與 AD 直接集成。

由於Unix 的身份管理 (IDMU) 和 NIS 伺服器角色已從此版本的 Windows 中刪除，因此解決方案是使用sssd自動生成 UID 和 GID 編號。

我無法理解自動生成的 GID 將如何映射到 Linux 機器上的實際組。

例如，如果使用者john是LinuxGroupAD 中的成員並且已登錄，並且應該映射到localgrpLinux 機器上的組，這將如何解決？如果自動生成的 GID 是 500 但在 Linux 機器上 GID 是 10，他將如何獲得linuxgrp特權？localgrp

為了只對使用者進行集中管理，我們不允許在 Linux 中直接添加使用者，即在/etc/passwd.

謝謝。

首先，僅從 WS2016 中刪除了管理控制台，但 UNIX 模式仍然存在，我認為它應該仍然可以通過例如 ADSI 編輯來訪問。所以你仍然可以使用 POSIX 屬性，只是更難設置它們。

其次，自動 ID 映射目前不允許您手動選擇任何範圍。我們正在處理上游，但它不會很快準備好，即使那樣，您可能不是在設置範圍之後，而是設置與之前相同的映射，即 1:1。

因此，如果您要使用自動 ID 映射，則必須使用 sss_override 命令行工具 chown 文件或創建每台機器的覆蓋。

引用自：https://unix.stackexchange.com/questions/430170