您好,有一个 Ubuntu 盒子设置可以登录 AD。
我可以使用与本地用户名不匹配的用户名登录 AD,但是我有一个也存在于 AD 中的本地用户名,并且我希望能够以该用户身份登录 AD。
我尝试过 user@domain 和 DOMAIN\user,但都不起作用。如果我使用“user”登录而不使用任何域,则它会在本地登录。
/etc/sssd/sssd.conf
[sssd]
services = nss, pam
config_file_version = 2
domains = AD.HERE.COM.AU
[domain/AD.HERE.COM.AU]
id_provider = ad
access_provider = ad
# Use this if users are being logged in at /.
# This example specifies /home/DOMAIN-FQDN/user as $HOME. Use with pam_mkhomedir.so
override_homedir = /home/%d/%u
# Uncomment if the client machine hostname doesn't match the computer object on the DC.
# ad_hostname = mymachine.myubuntu.example.com
# Uncomment if DNS SRV resolution is not working
# ad_server = dc.mydomain.example.com
# Uncomment if the AD domain is named differently than the Samba domain
# ad_domain = MYUBUNTU.EXAMPLE.COM
# Enumeration is discouraged for performance reasons.
enumerate = true
/etc/nsswitch.conf
# /etc/nsswitch.conf
#
# Example configuration of GNU Name Service Switch functionality.
# If you have the `glibc-doc-reference' and `info' packages installed, try:
# `info libc "Name Service Switch"' for information about this file.
passwd: compat sss
group: compat sss
shadow: compat
hosts: files mdns4_minimal [NOTFOUND=return] dns
networks: files
protocols: db files
services: db files
ethers: db files
rpc: db files
netgroup: nis sss
sudoers: files sss
答案1
在 nss 查阅 ssd 之前,会对身份验证源进行排序。
/etc/nsswitch.conf 中会有类似如下内容:
passwd files sss
shadow files sss
反转 sss 和文件将导致您的系统在查询本地文件之前先查询 AD 中的用户信息。这是否是个好主意又是另一个问题。
您是否真的需要一个与您希望使用的 AD 帐户同名的本地帐户?
答案2
您应该在您的部分中设置use_fully_qualified_names为。这意味着本地帐户可以与 Active Directory 帐户区分开来,因为它要求 AD 用户使用而不是仅使用进行登录。True[domain/AD.HERE.COM.AU]user@domainuser