Мы используем sssd для управления пользователями с информацией об учетной записи из Samba AD Domain Controller.
Конфигурация sssd на клиентах linux выглядит следующим образом:
[sssd]
services = nss, pam,ssh
config_file_version = 2
domains = EXAMPLE.DOMAIN.EU
[ssh]
debug_level = 3
[nss]
debug_level = 3
filter_users = root
filter_groups = root
default_shell = /bin/bash
[pam]
debug_level = 3
[domain/EXAMPLE.DOMAIN.EU]
debug_level = 3
id_provider = ad
access_provider = ad
override_homedir = /home/%u
ad_server = adserver
enumerate = true
cache_credentials = true
create_homedir = true
ldap_user_ssh_public_key = sshPublicKey
ad_gpo_access_control = disabled
Чтобы это работало, клиентские системы должны присоединиться к домену. В процессе присоединения они получают свой билет Kerberos. Конфигурация kerberos выглядит следующим образом:
[libdefaults]
default = DOMAIN.EU
default_realm = EXAMPLE.DOMAIN.EU
dns_lookup_realm = true
dns_lookup_kdc = true
fcc-mit-ticketflags = true
[realms]
EXAMPLE.DOMAIN.EU = {
kdc = adserver
admin_server = adserver
default_domain = domain.eu
}
DOMAIN.EU = {
kdc = adserver
admin_server = adserver
}
[domain_realm]
.domain.eu = EXAMPLE.DOMAIN.EU
domain.eu = EXAMPLE.DOMAIN.EU
Использование тех же файлов конфигурации на контроллере домена Samba AD приводит к сбою во время запуска sssd, потому что Kerberos не может найти билет машины:
[find_principal_in_keytab] (0x0020): krb5_kt_start_seq_get failed.
присоединение сервера к домену, вероятно, будет неправильным.
Как выглядит правильная конфигурация sssd на контроллере домена Samba AD?