По сути, этот вопрос состоит из двух частей. У меня есть домен FreeIPA example.com
с несколькими членами домена Fedora. На каждом из этих членов домена я могу войти в систему как пользователь домена без необходимости указывать имя домена. Например, при входе в систему я могу ввести "username
" вместо того "username@example.com
". После входа в систему я могу использовать id
чтобы убедиться, что я вошел в систему как пользователь домена, а не как локальный. Удобство этой функции неоспоримо, но я не понимаю, почему она работает. Итак, мой первый вопрос: почему это работает?
Во-вторых, я недавно добавил в домен новую машину Fedora, но обнаружил, что когда я пытаюсь войти в нее, я должен укажите имя домена в приглашении для входа в систему. Возникает вопрос: что я должен сделать, чтобы воспроизвести функциональность существующих машин?
Беглый взгляд на страницу руководства sssd.conf приводит меня к "default_domain_suffix
", но добавление этого параметра в sssd.conf моего нового сервера не привело к желаемой функциональности. Кроме того, этот параметр изначально отсутствует в sssd.conf моих старых серверов.
В зависимости от того, как вы на самом деле привлекаете клиентов, use_fully_qualified_names
будет установлен или отключен в sssd.conf
. Если вы используете ipa-client-install
напрямую, он будет отключен. Если вы используете realm join
, тогда он будет установлен.
См. Этот комментарий в выпуске FreeIPA 5350: https://pagure.io/freeipa/issue/5350#comment-510770 и, что более важно, баг с realmd: https://bugzilla.redhat.com/show_bug.cgi?id=1575538