Назад | Перейти на главную страницу

Конфигурация нескольких доменов realmd / sssd на RHEL7?

Я настроил наш экземпляр RHEL7 для поддержки интеграции входа в Active Directory с помощью документации ВОТ. Это описывает использование "realm"команда для настройки"sssd"сервис, позволяющий интегрировать AD.

Я использовал следующие команды для настройки sssd через realmd:

realm join usw.example.com -U myusername
realm deny --all
realm permit --groups "usw.example.com\\Linux Admins"

Затем я могу войти в ящик с помощью "uswuser@usw.example.com"предполагая"uswuser"находится в"USW\Linux Admins"Группа AD. Поле RHEL7 также (конечно) отображается как учетная запись компьютера в AD.

Я также хотел бы предоставить пользователям в нашем "use.example.com"(примечание СШАE вместо СШАW) доступ домена к этому ящику:

[root@oel7template ~]# realm permit "useuser@use.example.com" --verbose
 ! Invalid login argument 'useuser@use.example.com' does not match the login format.
realm: Couldn't change permitted logins: Invalid login argument 'useuser@use.example.com' does not match the login format.

Я также пробовал другие варианты, такие как "use.example.com\\useuser". Я предполагаю, что эта команда не работает, потому что сервер RHEL7 не присоединен к USE.EXAMPLE.COM домен в дополнение к USW.EXAMPLE.COM домен. Я могу сделать "realm join' для use.wlgore.com но при этом создаются две разные учетные записи компьютеров, что нежелательно.

Можно ли настроить аутентификацию Linux так, чтобы она работала аналогично традиционному серверу Windows? То есть сервер имеет единственную учетную запись компьютера в одном поддомене, но может аутентифицироваться в любом из других доменов. Например, присоединитесь к этому серверу RHEL7, чтобы "usw.example.com"но также предоставить доступ"use.example.com\useuser"?

Сообщите мне, если у вас возникнут другие проблемы с этой архитектурой. Возможно, я упустил что-то важное.

Это было решено путем добавления следующей строки в /etc/sssd/sssd.conf:

subdomain_enumerate = all

Полагаю, мне следовало полностью прочитать справочную страницу (man sssd.conf).

Я был бы очень удивлен, если бы subdomain_enumerate сработал. Эта опция должна влиять только на "getent passwd", отображающую пользователей поддомена.

Что вы можете сделать, это открыть файл sssd.conf и вручную добавить пользователей в списки simple_allow_users или simple_allow_groups. AFAIK проблема в том, что realmd не поддерживает нотацию FQDN для разрешения пользователей поддомена.