На чистом установленном хосте centos-7:
realm join -U foo --client-software sssd AD.EXAMPLE.COM
После запуска realm list
вывод изначально выглядит так:
AD.EXAMPLE.COM
type: kerberos
realm-name: AD.EXAMPLE.COM
domain-name: ad.example.com
configured: kerberos-member
server-software: active-directory
client-software: sssd
required-package: oddjob
required-package: oddjob-mkhomedir
required-package: sssd
required-package: adcli
required-package: samba-common
login-formats: %U@ad.example.com
login-policy: allow-realm-logins
Показывает, что я присоединился к активному каталогу с помощью sssd, как и планировал.
Позже (не знаю, что срабатывает или это ... перезагрузка системы гарантирует это, но, похоже, и другие вещи тоже - может быть, перезапуск самбы?), Вывод списка областей меняется на это
ad.example.com
type: kerberos
realm-name: AD.EXAMPLE.COM
domain-name: ad.example.com
configured: kerberos-member
server-software: active-directory
client-software: winbind
required-package: oddjob-mkhomedir
required-package: oddjob
required-package: samba-winbind-clients
required-package: samba-winbind
required-package: samba-common
login-formats: AD\%U
login-policy: allow-any-login
AD.EXAMPLE.COM
type: kerberos
realm-name: AD.EXAMPLE.COM
domain-name: ad.example.com
configured: kerberos-member
server-software: active-directory
client-software: sssd
required-package: oddjob
required-package: oddjob-mkhomedir
required-package: sssd
required-package: adcli
required-package: samba-common
login-formats: %U@ad.example.com
login-policy: allow-realm-logins
Как я присоединился к одному домену с помощью обоих механизмов? Есть ли способ, которым я НЕ МОГУ этого допустить? Или это как-то необходимое поведение?
Я знаю, что не отвечаю на ваш вопрос как таковой, но, возможно, это тоже будет полезно - если в nsswitch.conf настроен только sss, а в конфигурации PAM настроен только pam_sss.so, тогда только точки входа SSSD будет использоваться ..