我已经花了很多很多快乐的花费数小时探索集成 RHEL7 和 Active Directory 所需的 sssd 配置。其中很大一部分时间是查看这里关于 SSSD 和 AD 集成的许多帖子，特别是与 AD 中的本地 UID 查找有关的帖子。虽然这些帖子很有启发性，但似乎没有一个能涵盖我的场景。

我目前的问题是，我可以使用 Windows 用户通过 SSH 登录（使用 Windows 用户的密码登录“DOMAIN1\sales1”），SSSD 将正确验证 Windows 用户的状态。如果 Windows 用户被禁用，或者帐户已过期，则登录失败 - 一切正常。

如果我使用与 Windows 用户具有相同 ID 的 Linux 用户通过 SSH 登录（“sales1”，使用 Linux 用户的密码），SSSD 将在 AD 中查找并匹配 Windows 用户，但不是验证 AD 帐户。我已将 Linux 用户 UID 应用于 Windows 用户的 uidNumber 属性，以帮助 AD-linux 用户匹配，但我尝试的任何方法似乎都无法影响使用 Linux 用户凭据登录时 AD 用户状态验证。

sssd.conf

[sssd]
domains = domain1.local
config_file_version = 2
services = nss, pam
debug_level = 7


[domain/domain1.local]
ad_domain = domain1.local
krb5_realm = DOMAIN1.LOCAL
realmd_tags = manages-system joined-with-adcli 

id_provider = ad
auth_provider = ad
access_provider = ad
chpass_provider = ad

## We do NOT want offline caching of Windows authentications
cache_credentials = False
krb5_store_password_if_offline = False

## Found this ticket for sssd: https://fedorahosted.org/sssd/ticket/2851
## might be the GC lookup that is stopping expired users from being denied access
ad_enable_gc = False
ldap_id_mapping = False
override_homedir = /home/%u
default_shell = /bin/bash
debug_level = 8

nsswitch.conf

passwd:     files sss
shadow:     files sss
group:      files sss
hosts:      files dns
bootparams: nisplus [NOTFOUND=return] files
ethers:     files
netmasks:   files
networks:   files
protocols:  files
rpc:        files
services:   files sss
netgroup:   files sss
publickey:  nisplus
automount:  files
aliases:    files nisplus

pam.d/密码验证-ac

（由 authconfig 配置）

#%PAM-1.0
# This file is auto-generated.
# User changes will be destroyed the next time authconfig is run.
auth        required      pam_env.so
auth        [default=1 success=ok] pam_localuser.so
auth        [success=done ignore=ignore default=die] pam_unix.so nullok try_first_pass
auth        requisite     pam_succeed_if.so uid >= 1000 quiet_success
auth        sufficient    pam_sss.so forward_pass
auth        required      pam_deny.so

account     required      pam_unix.so
account     sufficient    pam_localuser.so
account     sufficient    pam_succeed_if.so uid < 1000 quiet
account     [default=bad success=ok user_unknown=ignore] pam_sss.so
account     required      pam_permit.so

password    requisite     pam_pwquality.so try_first_pass local_users_only retry=3 authtok_type=
password    sufficient    pam_unix.so sha512 shadow nullok try_first_pass use_authtok
password    sufficient    pam_sss.so use_authtok
password    required      pam_deny.so

session     optional      pam_keyinit.so revoke
session     required      pam_limits.so
-session     optional      pam_systemd.so
session     optional      pam_oddjob_mkhomedir.so umask=0077
session     [success=1 default=ignore] pam_succeed_if.so service in crond quiet use_uid
session     required      pam_unix.so
session     optional      pam_sss.so

我尝试使用 SSSD 实现的目标可行吗？

编辑#1

我对 sssd 以及 AD 集成对 RHEL 系统的影响还很陌生，所以我认为我解决我的需求的方法完全是错误的。

我有一个现有的 RHEL 独立服务器，运行使用 Linux 用户身份验证（passwd、shadow、groups）的应用程序。我被要求在广告中验证应用程序用户，然后才允许他们访问 Linux 应用程序。该应用程序必须继续使用现有的 Linux 用户和组 ID，因为它目前无法处理长 Windows 用户或带有“@”的用户 ID，并且很大一部分 acl 行为都是建立在现有组上的。

我原来的方法（导致提出这个问题）是使用 sssd 和 realm 将 RHEL 加入 AD，然后（通过 pam/sssd ）获取 linux 登录名来为 linux 用户找到匹配的 AD 用户，最有可能使用 windows 用户上的 POSIX 属性，并验证他们的 AD 帐户。

我认为我真正需要实现的是
- 在 AD 用户和使用该应用程序的本地 Linux 用户之间建立映射/关系

当存在这样的映射/关系时：
- 仅在登录时需要 AD 密码
- 验证 AD 帐户访问状态（帐户已启用/未过期/ GPO 登录权限/正确 AD 组的成员）
- 始终使用映射用户的本地用户名、uid 和 gid

我认为使用将允许我将 AD 用户登录限制到特定的 AD 组（除了上述应用程序用例之外，我们目前不希望 Windows 用户登录 Linux）。 我不确定将 AD 用户映射到现有 Linux 用户的最佳方法是什么。该应用程序当前创建并维护 Linux 用户帐户，因此任何解决方案都需要能够处理此问题。realm permit --groups [email protected]

从过去两周我读过的内容来看，我认为我的选择是：
- 使用 SSSD 本地覆盖来映射 AD 和 Linux 用户。
我没有这方面的经验，所以我依赖以下文章SSSD 本地覆盖作为可行的指标
- 依赖于在 AD 用户上定义的 POSIX 属性。
这确实意味着用户将在他们连接到的每个服务器上使用这些值，这些服务器也引用了 POSIX 属性。我不确定从长远来看这是否合理。测试表明，当用户登录 Linux 时，在 Windows 用户上定义的 uid、uidNumber 和 gidNumber 会使用这些值。这确实需要维护工作来确保在 AD 用户上定义这些值。-
安装 IPA 并使用 id 视图。
我没有安装或设置它的经验，但我的阅读表明这是一个可能的选择。使用此选项似乎确实会有额外的安装、配置和维护成本。

所以我认为我现在需要确认这些是否确实是唯一的选择，或者是否还有其他我不知道的选项，以及哪些可用选项最适合我的最低 AD 集成需求。