%20%E5%AE%A2%E6%88%B7%E7%AB%AF%E4%B8%8A%E5%85%B3%E9%97%AD%E5%AE%8C%E5%85%A8%E9%99%90%E5%AE%9A%E5%90%8D%E7%A7%B0%E7%9A%84%E6%AD%A3%E7%A1%AE%E6%96%B9%E6%B3%95%E6%98%AF%E4%BB%80%E4%B9%88%EF%BC%9F.png)
当我第一次将运行 Ubuntu Studio 18.04 的 PC 连接到 Active Directory (AD) 域时,我选择了完全限定名称,因为 Ubuntu PC 的本地用户与域用户同名。现在,我已经使用域用户顺利运行,我已删除本地用户,并希望放弃使用完全限定名称。在 /etc/ssd/sssd.conf 中,我更改了:
use_fully_qualified_names = True
到
use_fully_qualified_names = False
这达到了预期的效果,因为以域用户身份登录后:
printenv USER
现在产生:
username
代替
[email protected]
然而,它也有一些严重的副作用:
- 登录域的用户缺少几个显然由 PAM 自动分配的本地组成员身份,例如:cdrom audio video plugdev users netdev ssh lpadmin scanner saned sambashare
- 登录的域用户无法再访问某些文件和目录,因为域用户现在属于“域用户”组,而资源属于“域[电子邮件保护]“,域用户以前属于该域。
我如何才能彻底关闭完全限定名称的使用?
除了手动编辑组成员身份之外,是否有更好的方法来解决上述副作用?
答案1
我在 OEL 8.4 中的 SSSD 上遇到了类似的问题,解决方案的理论应该可以很好地转换回 Ubuntu。
vigr如果您手动将这些用户添加到列出的本地组,则可能需要使用和编辑组定义vigr -s。组定义按名称工作,因此它将取决于您的用户是否具有 FQ 名称。如果它们自动发生,则可能发生了其他事情。我不希望本地组默认位于域用户上(但我可能是错的)。
对于目录,如果 ID 映射没有改变,它们应该移植到非 FQ 名称,因为我认为文件权限基于 ID 号,而不是名称。但是,如果由于某种原因 ID 号发生变化,则需要使用 更新受影响的文件chown。这可能是文件系统或网络共享特定的。
对于发现此问题并希望将 FQ 名称转换为非 FQ 名称的任何人来说,还有一个补充说明:您可能需要注释掉其中的,default_domain_suffix以便sssd.conf使用非 FQ 名称。