SSSD 配置用于对单向信任域用户进行身份验证

SSSD 配置用于对单向信任域用户进行身份验证

我有一个 Microsoft“REDFOREST”Active Directory 部署。我的 REDFOREST 域包含我的所有用户帐户。我的“RESOURCE”域与 REDFOREST 域具有单向信任关系。

我已经设置了我的 AD 站点和服务,其中每个 RESOURCE 域都是自己的 SITE/vlan/子网。防火墙限制流量,仅允许根据需要在站点/vlan 之间进行域 DC-to-DC 复制,并将 RESOURCE 域站点/vlan 与 RESOURCE 主机隔离。在 RESOURCE 域/站点上,我有一个用于 REDFOREST 域的 RODC 和一个用于 RESOURCE 域的 ServerCore DC。复制一切正常。我的 Windows 客户端已加入 RESOURCE 域,我可以根据需要以 REDFOREST 用户身份登录。在我的 Ubuntu 系统上,我已配置 SSSD 并加入了 RESOURCE 域。我可以以我的[电子邮件保护]没有问题。

问题:我不知道如何以 redforest 用户身份登录 Ubuntu 工作站。我为 SSSD 启用了调试日志。我可以看到 SSSD 获取域信任信息并根据需要查询用户的 RODC,但是出现了几个错误。

  • 服务器 '' 的端口 389 的端口状态为“不起作用”
  • 未通过筛选找到用户
  • 未找到包含 upn 的条目

我看到 SSSD 确定要使用的域控制器并使用 ldap 过滤器“调用 ldap_search_ext”来查找我的用户帐户。我已使用相同的过滤器手动运行“ldapserach”以成功检索我的帐户信息。看来,由于 AD 不允许匿名绑定和/或由于我的系统没有 kerberos 票证(因为它属于 RESOURCE 域,而不是 REDFOREST 域),主机无法在 REDFOREST 域中查找我的帐户(因为 REDFOREST 不信任 RESOURCE)。

我浏览了 SSSD 文档,想知道是否有一种好的/安全的方法来指定一个服务帐户,以便绑定/用于 REDFOREST 域用户查找。或者可能是某些 kerberos 配置、LDAP 或其他想法,以使此域拓扑适用于 Ubuntu 工作站。

参考图。 红森林-资源领域图

相关内容