Я работаю над проверкой и переходом на более надежное решение для управления растущим числом серверов Linux. Мы традиционно использовали Centos 7.
Некоторые из серверов просто автономны с несколькими локальными учетными записями, потому что в основном работают с программным обеспечением от поставщиков. Еще несколько подключены к Windows AD с помощью sssd, еще несколько подключены с помощью windbind, потому что на них размещены общие ресурсы SAMBA, чтобы пользователи Windows могли получить доступ к файлам. Это сработало нормально, но windbind непрост, у нас нет центральных политик и сопоставления идентификаторов между окнами, а Linux назначает разные идентификаторы для каждого локального окна.
Чтение документации Redhat IDM с доверием между лесами кажется лучшим способом. Сертификаты, вход в систему и т. Д. Работают в основном так, как ожидалось (мои пользователи не любят вводить основные имена пользователей, и я не вижу способа обойтись, когда их учетная запись находится из другого домена)
Однако я борюсь с настройкой SAMBA.
Я следил за этим:
https://www.freeipa.org/page/Howto/Integrating_a_Samba_File_Server_With_IPA
но теперь служба smb не запускается. Я искал другую документацию, чтобы интегрировать их.
Если вы хотите использовать Samba> = 4.8.0 с общими ресурсами, вы не можете использовать sssd, вы должны использовать winbind, а если вы получаете разные идентификаторы на разных машинах, то вы используете разные файлы smb.conf. Чтобы быть конкретным, строки 'idmap config' и / или серверная часть winbind. Если вы также добавите sssd в микс, я не удивлюсь, что вы получите другие идентификаторы. Как я уже сказал, если вам нужны общие ресурсы, используйте winbind на всех машинах Unix с одним и тем же разделом [global], если вам просто нужна аутентификация, используйте sssd везде, не используйте winbind на одних машинах и sssd на других.