У меня есть машина, которая присоединена к домену A, и она может нормально аутентифицировать пользователей в этом домене. Область домена по умолчанию в kerberos - это домен A. Однако я не могу пройти аутентификацию в домене B, который должен иметь двусторонние доверительные отношения. Пользователи в домене B отображаются только как недействительные. И в журналах sssd я получаю «[sysdb_search_by_name] (0x0400): Нет такой записи»
Вот конфигурация sssd. У меня здесь не настроен домен B. Требуется ли он, если он находится в том же лесу? Если мне нужно добавить домен B, нужно ли мне включать SPN в файл keytab?
Также следует отметить, что сервер присоединен к Windows Active Directory 2008R2.
[sssd]
domains = DomainA
config_file_version = 2
services = nss, pam, sudo, ssh
[pam]
pam_pwd_expiration_warning = 200
pam_account_expired_message = Account/password expired, please use selfservice portal to change your password and extend account.
[domain/DomainA]
debug_level = 6
ad_domain = domaina.local
krb5_realm = domaina.local
realmd_tags = manages-system joined-with-samba
cache_credentials = True
id_provider = ad
auth_provider = ldap
krb5_store_password_if_offline = True
default_shell = /bin/bash
ldap_id_mapping = True
ldap_idmap_default_domain_sid = set
subdomains_provider = none
use_fully_qualified_names = False
ldap_user_extra_attrs = altSecurityIdentities:altSecurityIdentities,url
ldap_user_ssh_public_key = altSecurityIdentities
ldap_use_tokengroups = True
fallback_homedir = /home/%u
access_provider = simple
simple_allow_groups = groupa, groupb
У меня действительно нет ответа на свой вопрос (я не мог решить его с помощью sssd), но я смог решить свою проблему, используя PowerBroker с открытым исходным кодом решение.