我遇到的问题可能主要是表面性的,但我必须减少用户的投诉。 :)
我有一组运行 CentOS 7.4 的服务器,并且需要将服务器加入 Active Directory 域。用户是在具有 POSIX 属性的域中定义的,但没有为每个用户定义组。我加入了域
realm join --user=me --membership-software=adcli --computer-name=myhostname EXAMPLE.GOV
我的/etc/sssd/sssd.conf包含这个
[sssd]
domains = example.gov
config_file_version = 2
services = nss, pam
default_domain_suffix = EXAMPLE.GOV
[domain/example.gov]
ad_domain = example.gov
krb5_realm = EXAMPLE.GOV
realmd_tags = manages-system joined-with-adcli
cache_credentials = True
id_provider = ad
krb5_store_password_if_offline = True
default_shell = /bin/bash
ldap_sasl_authid = myhostname$
ldap_id_mapping = False
use_fully_qualified_names = True
fallback_homedir = /home/%u
ldap_user_home_directory = unixHomeDirectory
access_provider = ad
full_name_format = %1$s
override_shell = /bin/bash
到目前为止一切顺利,但我在为自己取一个团体名称时遇到了问题。
$ id me
uid=123456(me) gid=123456 groups=123456
$ getent passwd me
me:*:123456:123456:Doug:/home/me:/bin/bash
$ getent group me
$
我想要的是getent group me回归123456。看起来我正在寻找sssd配置选项auto_private_groups或 magicPrivateGroups ( ?),但这两个选项在 CentOS 7 下都不支持。magic_private_groups
开启ldap_id_mapping不是一个选项,因为这些 ID 在我们的所有平台上并不一致。有什么建议么?