Назад | Перейти на главную страницу

sssd имя пользователя активного каталога такое же, как у локального пользователя

Привет, у меня есть установка Ubuntu для входа в AD.

Я могу войти в AD, используя имена пользователей, которые не соответствуют локальным именам пользователей, однако у меня есть локальное имя пользователя, которое также существует в AD, и я хочу иметь возможность войти в AD как этот пользователь.

Я пробовал user @ domain и DOMAIN \ user, но ни один из них не работает. Если я вхожу в систему с использованием «пользователя» без домена, он входит в систему локально.

/etc/sssd/sssd.conf

[sssd]
services = nss, pam
config_file_version = 2
domains = AD.HERE.COM.AU

[domain/AD.HERE.COM.AU]
id_provider = ad
access_provider = ad

# Use this if users are being logged in at /.
# This example specifies /home/DOMAIN-FQDN/user as $HOME.  Use with pam_mkhomedir.so
override_homedir = /home/%d/%u

# Uncomment if the client machine hostname doesn't match the computer object on the DC.
# ad_hostname = mymachine.myubuntu.example.com

# Uncomment if DNS SRV resolution is not working
# ad_server = dc.mydomain.example.com

# Uncomment if the AD domain is named differently than the Samba domain
# ad_domain = MYUBUNTU.EXAMPLE.COM

# Enumeration is discouraged for performance reasons.
enumerate = true

/etc/nsswitch.conf

# /etc/nsswitch.conf
#
# Example configuration of GNU Name Service Switch functionality.
# If you have the `glibc-doc-reference' and `info' packages installed, try:
# `info libc "Name Service Switch"' for information about this file.

passwd:         compat sss
group:          compat sss
shadow:         compat

hosts:          files mdns4_minimal [NOTFOUND=return] dns
networks:       files

protocols:      db files
services:       db files
ethers:         db files
rpc:            db files

netgroup:       nis sss
sudoers:        files sss

Порядок источников аутентификации выполняется до обращения к sssd с помощью nss.

В /etc/nsswitch.conf будет что-то вроде:

passwd      files sss
shadow      files sss

При обращении sss и файлов ваша система будет запрашивать информацию о пользователе в AD перед локальными файлами. Другой вопрос, хорошая ли это идея.

Вам действительно нужна локальная учетная запись с именем той учетной записи AD, которую вы хотите использовать?

Вы должны установить use_fully_qualified_names к True в твоем [domain/AD.HERE.COM.AU] раздел. Это означает, что локальные учетные записи можно отличить от учетных записей Active Directory, поскольку для этого требуется вход пользователей AD с использованием user@domain вместо просто user.