Привет, у меня есть установка Ubuntu для входа в AD.
Я могу войти в AD, используя имена пользователей, которые не соответствуют локальным именам пользователей, однако у меня есть локальное имя пользователя, которое также существует в AD, и я хочу иметь возможность войти в AD как этот пользователь.
Я пробовал user @ domain и DOMAIN \ user, но ни один из них не работает. Если я вхожу в систему с использованием «пользователя» без домена, он входит в систему локально.
/etc/sssd/sssd.conf
[sssd]
services = nss, pam
config_file_version = 2
domains = AD.HERE.COM.AU
[domain/AD.HERE.COM.AU]
id_provider = ad
access_provider = ad
# Use this if users are being logged in at /.
# This example specifies /home/DOMAIN-FQDN/user as $HOME. Use with pam_mkhomedir.so
override_homedir = /home/%d/%u
# Uncomment if the client machine hostname doesn't match the computer object on the DC.
# ad_hostname = mymachine.myubuntu.example.com
# Uncomment if DNS SRV resolution is not working
# ad_server = dc.mydomain.example.com
# Uncomment if the AD domain is named differently than the Samba domain
# ad_domain = MYUBUNTU.EXAMPLE.COM
# Enumeration is discouraged for performance reasons.
enumerate = true
/etc/nsswitch.conf
# /etc/nsswitch.conf
#
# Example configuration of GNU Name Service Switch functionality.
# If you have the `glibc-doc-reference' and `info' packages installed, try:
# `info libc "Name Service Switch"' for information about this file.
passwd: compat sss
group: compat sss
shadow: compat
hosts: files mdns4_minimal [NOTFOUND=return] dns
networks: files
protocols: db files
services: db files
ethers: db files
rpc: db files
netgroup: nis sss
sudoers: files sss
Порядок источников аутентификации выполняется до обращения к sssd с помощью nss.
В /etc/nsswitch.conf будет что-то вроде:
passwd files sss
shadow files sss
При обращении sss и файлов ваша система будет запрашивать информацию о пользователе в AD перед локальными файлами. Другой вопрос, хорошая ли это идея.
Вам действительно нужна локальная учетная запись с именем той учетной записи AD, которую вы хотите использовать?
Вы должны установить use_fully_qualified_names
к True
в твоем [domain/AD.HERE.COM.AU]
раздел. Это означает, что локальные учетные записи можно отличить от учетных записей Active Directory, поскольку для этого требуется вход пользователей AD с использованием user@domain
вместо просто user
.