Я смог успешно следуйте этому документу, чтобы получить sssd для работы с моим доменом Active Directory, но мне было грустно узнать, что sssd не поддерживает аутентификацию с внешними доверительными отношениями.
Я читал, что вы действительно можете присоединиться к нескольким доменам с помощью krb5 и samba (?) поэтому я попытался сделать это, скопировав существующий /etc/samba/smb.conf и отредактировал его, чтобы отразить дополнительный домен, чтобы он начинался так:
[global]
workgroup = ANOTHER
client signing = yes
client use spnego = yes
kerberos method = secrets and keytab
realm = ANOTHER.EXAMPLE.COM
security = ads
Затем я отредактировал /etc/krb5.conf чтобы добавить мой новый домен ANOTHER.EXAMPLE.COM под [realms] раздел так:
[libdefaults]
default_realm = HI.EXAMPLE.COM
kdc_timesync = 1
ccache_type = 4
forwardable = true
proxiable = true
rdns=false
fcc-mit-ticketflags = true
[realms]
ANOTHER.EXAMPLE.COM = {
kdc = another.example.com
admin_server = another.example.com
master_kdc = another.example.com
default_domain = another.example.com
}
Наконец я сделал kinit -V my.user@ANOTHER.EXAMPLE.COM и он запросил пароль и успешно прошел аутентификацию. Я тогда сделал net ads join -U my.user /etc/samba/smb_another.conf, снова ввел свой пароль, и получил следующее:
Using short domain name -- ANOTHER
Joined 'SERVER9' to dns domain 'another.example.com'
No DNS domain configured for server9. Unable to perform DNS Update.
DNS update failed: NT_STATUS_INVALID_PARAMETER
Хорошо, не очень хорошо, но я видел такую ошибку раньше, и она все еще работала. Итак, я пытаюсь getent passwd my.user@ANOTHER.EXAMPLE.COM.
Он висит секунд 20 и возвращается с пустыми руками.
Есть ли какие-либо предложения или советы, или советы о том, возможно ли это вообще?
Оказывается, мне нужно было использовать UPN для входа. После попытки getent passwd с этим, это работает!