Я унаследовал Samba 4 Active Directory (AD) сервер. Он отлично работает с winbind, однако по соображениям безопасности мы хотели бы изменить на sssd. В домене есть два контроллера домена (основной и дополнительный), оба подключены к сети.
Я создал тестовую клиентскую машину и выполнил шаги Вот для подключения к домену с помощью sssd. Клиент сообщает, что он подключился к домену, и делает появляются в домене (когда я использую Active directory users and computers.)
Однако логины и getent не работать.
/var/log/auth.log
Jun 12 14:19:16 clientCompName sshd[9349]: Invalid user adusername from xxx.xxx.xx8.149 port 42304
Jun 12 14:19:20 clientCompName sshd[9349]: pam_unix(sshd:auth): check pass; user unknown
Jun 12 14:19:20 clientCompName sshd[9349]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=xxx.xxx.xx8.149
Jun 12 14:19:21 clientCompName sshd[9349]: Failed password for invalid user adusername from xxx.xxx.xx8.149 port 42304 ssh2
Если я сделаю realm discover, Я заметил, что клиенты, похоже, заблокированы в использовании winbind.
root@clientCompName:/etc/pam.d# realm discover ADDOMAIN.MYDOMAN.DE
addomain.mydomain.de
type: kerberos
realm-name: ADDOMAIN.MYDOMAN.DE
domain-name: addomain.mydomain.de
configured: kerberos-member
server-software: active-directory
client-software: winbind
required-package: winbind
required-package: libpam-winbind
required-package: samba-common-bin
login-formats: SMBAD\%U
login-policy: allow-any-login
/etc/pam.d/common-auth
auth [success=2 default=ignore] pam_unix.so nullok_secure
auth [success=1 default=ignore] pam_sss.so use_first_pass
auth requisite pam_deny.so
auth required pam_permit.so
auth optional pam_cap.so
# end of pam-auth-update config
/etc/pam.d/common-session
session [default=1] pam_permit.so
session requisite pam_deny.so
session required pam_permit.so
session optional pam_umask.so
session required pam_unix.so
session optional pam_sss.so
session optional pam_systemd.so
# end of pam-auth-update config
/etc/pam.d/common-account
account [success=1 new_authtok_reqd=done default=ignore] pam_unix.so
account requisite pam_deny.so
account required pam_permit.so
account sufficient pam_localuser.so
account [default=bad success=ok user_unknown=ignore] pam_sss.so
# end of pam-auth-update config
Есть ли способ преобразовать AD для использования sssd вместо того winbind (или принять оба?)
Это сработало для меня - вы можете исключить пакеты samba, если хотите?
yum install sssd krb5workstation sambacommon authconfig adcli krb5-workstation samba samba-client sssd-libwbclient policycoreutils-python
systemctl enable sssd
systemctl start sssd
systemctl enable smb
systemctl restart smb
authconfig --update --enablesssd --enablesssdauth --enablemkhomedir
редактировать /etc/nsswitch.conf линии, чтобы выглядеть…
passwd: files sss
shadow: files sss
group: files sss
затем
kinit adminuser
(используйте учетную запись администратора AD)
klist
(чек билет)
realm join --user=\adminuser@DOMAIN DOMAIN
редактировать /etc/sssd/sssd.conf:
use_fully_qualified_names = False
fallback_homedir = /home/%u
Затем:
systemctl start sssd
редактировать /etc/samba/smb.conf & проверьте еще строки:
security = ads
realm = DOMAIN
workgroup = ...
Затем:
systemctl restart smb
Тест:
realm discover DOMAIN
id domainuser