寻求您对以下场景的帮助
设想- 我的身份验证使用 2 个域进行(域 1 和 2 之间有信任关系)。我们将服务器从域 1 迁移到域 2。
域 1 已启用 POSIX而不是域 2
我是否可以选择设置第一个域为“ ldap_id_mapping = True”和对于第二个域,ldap_id_mapping = False。
以下是我的 sssd.conf 文件。请提出建议
[sssd]
domains = domain2.com
config_file_version = 2
services = nss, pam
default_domain_suffix = domain1.com
[domain/domain2.com]
ad_domain = domain2.com
krb5_realm = domain2.com
realmd_tags = manages-system joined-with-samba
cache_credentials = True
id_provider = ad
krb5_store_password_if_offline = True
default_shell = /bin/bash
ldap_id_mapping =true
use_fully_qualified_names = True
fallback_homedir = /home/%u@%d
access_provider = ad
debug_level = 9
[domain/domain1.com]
ad_domain = domain1.com
krb5_realm = domain1.com
realmd_tags = manages-system joined-with-samba
cache_credentials = True
id_provider = ad
krb5_store_password_if_offline = True
default_shell = /bin/bash
ldap_id_mapping = False
use_fully_qualified_names = True
fallback_homedir = /home/%u@%d
access_provider = ad
答案1
是的,这应该可行,因为如果在配置文件中单独定义域,则域之间没有关系。但请注意,如果两个域相互信任,则 sssd 的子域提供程序将自动发现另一个域。对于您的情况,您可能希望通过在配置文件中将其设置为“无”来禁用子域提供程序。根据您的版本(以及取决于版本是否具有 ad_enabled_domains),您可能还需要设置域 SID,因为至少对于启用了 ID 映射的域而言。这是因为使用 ID 映射,SSSD 需要知道域 SID,而子域提供程序也是发现主域 SID 的提供程序(是的,命名令人困惑..)
(编辑:我刚刚注意到您明确表示您正在使用 RHEL-6。因此,ad_enabled_domains 仅在 RHEL-6.9 中可用)