Я успешно настроил sssd и могу подключиться по ssh к системе с учетными данными AD, чего мне не хватает, так это создания домашнего каталога и установки bash в качестве оболочки.
Я предполагаю, что если я вхожу в систему, в которой еще нет локальной учетной записи Linux, но у которой есть действующая учетная запись AD, домашний каталог создается при первом входе пользователя в систему, и соответствующие оболочки устанавливаются, как определено в /etc/sssd/sssd.conf:
override_homedir = /home/%u
default_shell = /bin/bash
Я также бегал
authconfig --enablesssd --enablesssdauth --enablemkhomedir --update
Что мне не хватает или я делаю неверное предположение о моей существующей конфигурации?
Я хочу избежать использования устаревшей функции Windows Identity Management for Unix.
Эта проблема была решена путем перемещения записей
override_homedir = /home/%u
default_shell = /bin/bash
из раздела [sssd] файла sssd.conf в [domain / lab.local]
Есть две части уравнения. Один из них находится в SSSD и, в частности, в интерфейсе коммутатора службы имен. Эта часть сообщает, какой домашний каталог находится в системе, и вы можете проверить это с помощью "getent passwd $ username". Пока эта команда дает точные ответы, SSSD работает должным образом.
Другая часть - собственно создание домашних каталогов. Я бы рекомендовал использовать там oddjob и pam_oddjob_mkhomedir вместо старого pam_mkhomedir. По моему опыту, он лучше работает с SELinux.
Просмотрите / var / log / secure сообщения об ошибках от модулей PAM.
Пожалуйста, сначала посмотрите этот пост: Распространенная мудрость об аутентификации Active Directory для серверов Linux?
Для систем RHEL / CentOS 6.x я делаю:
Для authconfig что-то вроде:
authconfig --enablesssd --ldapserver = ldap: //dc1.ad.blahblah.com --ldapbasedn = "dc = ad, dc = blahblah, dc = com" --enablerfc2307bis --enablesssdauth --krb5kdc = dc1.ad. blahblah.com --krb5realm = AD.BLAHBLAH.COM --disableforcelegacy --enablelocauthorize --enablemkhomedir --updateall
Мой простой sssd.conf будет выглядеть так: http://pastebin.com/Aa2XsYhh - После изменения конфигурации перезапустите службу sssd.
Затем я устанавливаю oddjob-mkhomedir с участием: yum install oddjob-mkhomedir- Вы можете настроить права доступа к домашнему каталогу по своему вкусу. /etc/oddjobd.conf.d/oddjobd-mkhomedir.conf
Убедитесь, что sssd и странная работа службы настроены на запуск при загрузке.
Это должно быть все, что нужно.
У меня это работает на CentOS 7, когда я вхожу в систему через SSHD. Место, где создается домашний каталог, - это группа управления сеансом, которая является частью PAM.
Из справочной страницы pam (8):
session - this group of tasks cover things that should be done prior to a service being given and after it is
withdrawn. Such tasks include the maintenance of audit trails and the mounting of the user's home directory.
The session management group is important as it provides both an opening and closing hook for modules to
affect the services available to a user.
В /etc/pam.d/password-auth вы найдете эту строку: сеанс необязательный pam_oddjob_mkhomedir.so umask = 0077
который заботится о создании домашнего каталога.
Убедитесь, что вы установили и включили пакет oddjob-mkhomedir.