我需要设置一些 Linux 机器,让用户使用 SSSD 通过 AD 进行身份验证,如何管理 AD 上用户帐户的用户组、主目录和 shell,有没有办法在 AD 上执行此操作,或者我必须在 Linux 端做,如何做?
答案1
假设您已使用 POSIXAccount 对象类扩展了 Active Directory 用户帐户,则可以在 Active Directory 用户帐户上设置登录 shell 和主目录属性。
对于组成员身份,默认的 Unix 组成员身份由用户帐户上的 GIDNumber 属性定义。应该有一个具有此 GIDNumber 的相应 Active Directory 组。该组必须使用 POSIXGroup 对象类进行扩展。
可以使用 POSIXGroup 对象类以及这些组中的用户来定义其他 Active Directory 组。用户可以属于多个 POSIXGroup AD 组。这些组将在 Linux 机器上可用