带有 AD 的 SSSD:当 ldap_id_mapping = False 时,如何确保 AD 组不会丢失?

带有 AD 的 SSSD:当 ldap_id_mapping = False 时,如何确保 AD 组不会丢失?

为什么改变ldap_id_mapping同一个 AD 用户会呈现不同的组成员身份?

我希望我的UID/GIDIDMU 与 AD 相同:带有 AD 的 SSSD:使用域服务器上指定的 UID/GID 而不是随机的?

我已经通过设置实现了这一点/etc/sssd/sssd.conf ldap_id_mapping = False,但现在我的一些 AD 组“丢失”了。

以前的 AD 用户ldap_id_mapping = True反映了该用户所属的所有 AD 组,而该ldap_id_mapping = False用户却没有。

例如:

% sssd --version
2.3.1

% cat /etc/sssd/sssd.conf | grep id_mapping

ldap_id_mapping = True

% su [email protected]                                        
Password: 
[email protected]@myhostname:~/$ id

uid=397401108([email protected])
gid=397400512(domain [email protected])
groups=397400512(domain [email protected]),
397400513(domain [email protected]),
397400518(schema [email protected]),
397400519(enterprise [email protected]),
397400572(denied rodc password replication [email protected]),
397401109([email protected]),
397401112(vcsa [email protected]),
397404603([email protected]),
397407607([email protected])

% exit

上面,你可以看到有几个特定于 AD 的组

% su -

# sed -i 's/ldap_id_mapping = True/ldap_id_mapping = False/g' /etc/sssd/sssd.conf 

# cat /etc/sssd/sssd.conf | grep id_mapping

ldap_id_mapping = False

# exit

% su [email protected]                                        
Password: 
[email protected]@myhostname:~/$ id

uid=10000(auser)
gid=10001(administrators)
groups=10001(administrators),
3109([email protected]),
10000(domain [email protected])

现在您可以看到 AD 特定的组未在 SSSD 客户端上显示。

有人知道为什么更改此设置后所有这些组都不存在于我的域用户中吗?所有现有的 AD 组和用户是否都映射到 ldap 等效项?

是不是因为 时所呈现的组ldap_id_mapping = True没有被映射ldap_id_mapping = False

我如何确保这些组不会在 SSSD 客户端上“丢失” ldap_id_mapping = False

相关内容