Выполнив присоединение к winbind, но еще не имея sssd, сегодня меня попросили использовать adcli и sssd для присоединения блока EL7 к службе Windows AD.
программное обеспечение, обновленная минимальная установка el7 с добавлением adcli, sssd и некоторых материалов krb5:
adcli-0.8.1-3.el7.x86_64
authconfig-6.2.8-30.el7.x86_64
krb5-libs-1.15.1-8.el7.x86_64
krb5-workstation-1.15.1-8.el7.x86_64
oddjob-0.31.5-4.el7.x86_64
oddjob-mkhomedir-0.31.5-4.el7.x86_64
python-sssdconfig-1.15.2-50.el7_4.2.noarch
samba-client-libs-4.6.2-10.el7_4.x86_64
samba-common-4.6.2-10.el7_4.noarch
samba-common-libs-4.6.2-10.el7_4.x86_64
samba-common-tools-4.6.2-10.el7_4.x86_64
samba-libs-4.6.2-10.el7_4.x86_64
sssd-1.15.2-50.el7_4.2.x86_64
sssd-ad-1.15.2-50.el7_4.2.x86_64
sssd-client-1.15.2-50.el7_4.2.x86_64
sssd-common-1.15.2-50.el7_4.2.x86_64
sssd-common-pac-1.15.2-50.el7_4.2.x86_64
sssd-dbus-1.15.2-50.el7_4.2.x86_64
sssd-ipa-1.15.2-50.el7_4.2.x86_64
sssd-krb5-1.15.2-50.el7_4.2.x86_64
sssd-krb5-common-1.15.2-50.el7_4.2.x86_64
sssd-ldap-1.15.2-50.el7_4.2.x86_64
sssd-proxy-1.15.2-50.el7_4.2.x86_64
sssd-tools-1.15.2-50.el7_4.2.x86_64
sssd.conf, если это поможет:
[sssd]
config_file_version = 2
services = nss, pam, ssh, sudo
domains = test.domain.com
[nss]
filter_users = root,named,avahi,haldaemon,dbus,radiusd,news,nscd,centos,ubuntu
[pam]
[ssh]
[sudo]
[domain/test.domain.com]
enumerate = true
id_provider = ad
access_provider = ad
ad_domain = test.domain.com
krb5_realm = TEST.DOMAIN.COM
cache_credentials = True
krb5_store_password_if_offline = True
default_shell = /bin/bash
ldap_id_mapping = True
fallback_homedir = /home/%u
ldap_user_ssh_public_key = sshPublicKey
Само соединение обрабатывается через adcli:
adcli join --host-fqdn tstel7-01.test.domain.com \
--computer-name tstel7-01 \
-U adjoinacct \
test.domain.com
Keytab? Богатый:
Keytab name: FILE:/etc/krb5.keytab
KVNO Principal
---- --------------------------------------------------------------------------
3 restrictedkrbhost/tstel7-01.test.domain.com@TEST.DOMAIN.COM
3 restrictedkrbhost/tstel7-01.test.domain.com@TEST.DOMAIN.COM
3 restrictedkrbhost/tstel7-01.test.domain.com@TEST.DOMAIN.COM
3 restrictedkrbhost/tstel7-01.test.domain.com@TEST.DOMAIN.COM
3 restrictedkrbhost/tstel7-01.test.domain.com@TEST.DOMAIN.COM
3 restrictedkrbhost/tstel7-01@TEST.DOMAIN.COM
3 restrictedkrbhost/tstel7-01@TEST.DOMAIN.COM
3 restrictedkrbhost/tstel7-01@TEST.DOMAIN.COM
3 restrictedkrbhost/tstel7-01@TEST.DOMAIN.COM
3 restrictedkrbhost/tstel7-01@TEST.DOMAIN.COM
3 host/tstel7-01.test.domain.com@TEST.DOMAIN.COM
3 host/tstel7-01.test.domain.com@TEST.DOMAIN.COM
3 host/tstel7-01.test.domain.com@TEST.DOMAIN.COM
3 host/tstel7-01.test.domain.com@TEST.DOMAIN.COM
3 host/tstel7-01.test.domain.com@TEST.DOMAIN.COM
3 host/tstel7-01@TEST.DOMAIN.COM
3 host/tstel7-01@TEST.DOMAIN.COM
3 host/tstel7-01@TEST.DOMAIN.COM
3 host/tstel7-01@TEST.DOMAIN.COM
3 host/tstel7-01@TEST.DOMAIN.COM
3 TSTEL7-01$@TEST.DOMAIN.COM
3 TSTEL7-01$@TEST.DOMAIN.COM
3 TSTEL7-01$@TEST.DOMAIN.COM
3 TSTEL7-01$@TEST.DOMAIN.COM
3 TSTEL7-01$@TEST.DOMAIN.COM
Но без кубиков:
# id adjoinacct
id: adjoinacct: no such user
Он даже не может найти учетную запись, которая использовалась для присоединения к нему (правда, нет).
tshark (-plni any not port 22) показывает, что во время выполнения id соединения не разрываются.
Что, черт возьми, я пропустил? Любые идеи? Подсказки? Могу ли я предоставить ЛЮБУЮ информацию? Это сбивает с толку, и, хотя я хочу выручить и сделать вещь samba-winbind, этого просто недостаточно для плана реализации - а решение sssd настолько хорошо продвигается, что от него так быстро отказываются.
(Я также могу протестировать на EL6, с таким же плохим результатом :-()
(не стесняйтесь создавать и добавлять тег adcli; я не могу)
Чтобы иметь сопоставление идентификаторов и логины для создания домашних каталогов, используйте:
authconfig --update --enablesssd --enablesssdauth --enablemkhomedir
Это изменяет необходимые файлы pam.
Вам нужен пакет oddjob-mkhomedir rpm, установленный для создания домашних каталогов, или просто оставьте --enablemkhomedir выключить.
Также убедитесь, что ваш sssd служба работает.
Что будет, если вы попробуете
id adjoinacct@test.domain.com
?
Если это работает там, где не работала предыдущая команда, возможно, проблема связана с настройкой use_fully_qualified_names. Если вы хотите иметь возможность использовать короткие имена и вам не нужно беспокоиться о нескольких доменах, вы можете попробовать поставить
use_fully_qualified_names = False
в разделе [domain / test.domain.com] файла sssd.conf, а затем перезапустите службу sssd. Да, man sssd.conf говорит, что значение по умолчанию - ЛОЖЬ, но мне пришлось явно установить это, чтобы избежать подобных проблем.