在两个 AD 域之间成功建立单向信任后,我们无法在受信任域中查找/识别用户。
这是我们的用例。
- AD1:dom1.com (Win2k8 R2) - 到 AD2 的单向传出信任
- AD2:dom2.com (Win2kr R2) - 来自 AD1 的单向传入信任
- Linux1:AD1/dom1.com 的成员
- 可以查找用户 1:Linux1>$id AD1\User1 - OK
- 无法查找 User2 Linux1>$id AD2\User2 — 不行。
- PAM 和 SSSD 在 AD1 域内运行良好。
我尝试在 sssd.conf 中添加域条目(例如 [domain/AD2]),但毫无帮助。根据对 User1 的成功查找,Kerberos 运行正常。
感谢您为解决我们的问题所提供的意见。
/etc/sssd/sssd.conf
[sssd]
config_file_version = 2
debug_level = 0
domains = dom1.com, dom2.com
services = nss, pam
[domain/dom1.com]
id_provider = ad
access_provider = simple
simple_allow_groups = user_group
ldap_id_mapping = false
enumerate = true
[domain/dom2.com]
id_provider = ad
auth_provider = ad
chpass_provider = ad
access_provider = simple
simple_allow_groups = user_group
ldap_id_mapping = false
enumerate = true