У меня есть вычислительный сервер под управлением Linux (centos 7), на котором пользователи могут аутентифицироваться с помощью Microsoft AD и kerberos нашей компании. IT-отдел помог мне в настройке. Сначала они сделали меня администратором подгруппы my_subgroup, в которой я могу добавлять и удалять пользователей из AD. Среди других настроек один выглядит так в /etc/sss.d/sssd.conf:
ad_access_filter = (memberOf=CN=my_subgroup,OU=Groups,OU=ThatDepartment,DC=example,DC=com)
Это хорошо работает. Но у меня есть другой сервер для хранения, работающий под управлением Solaris 11.4 (из-за подлинной ZFS и более 100 ТБ данных). Поскольку мои местные администраторы не смогли помочь мне с Solaris, они предоставили мне корневой ЦС сертификата (.crt), который, как мне кажется, я успешно импортировал в / var / ldap /:
certutil -A -n /var/ldap/ad-cert -t "CT,C,C" -d /var/ldap -i /var/ldap/ad-cert.txt
Вот настройки для /etc/resolv.conf (конечно, не настоящие)
domain example.com
search example.com
nameserver 192.168.100.10
Я добавил следующую строку в /etc/krb5/krb5.conf:
verify_ap_req_nofail = false
Я могу получить билет с kinit -V myusername
У меня проблема при попытке использовать ldapclient manual с аргументами -a credentialLevel=self -a authenticationMethod=sasl/GSSAPI. Я не знаю, где включить ad_access_filter аргумент, указывающий на подгруппу, разрешающую пользователям доступ к серверу.
Спасибо за любую помощь. Джонатан