我们设置了 12 台 Redhat 服务器,并将它们加入到我们的 Windows Active Directory 域中。最初我们使用 Redhat 7.4,一切都很顺利,但后来供应商告诉我们他们的应用程序只支持 7.3。所以我们将所有 12 台服务器重新安装为 7.3,并将它们连接到域。除了用户现在在每台服务器上获得随机 UID 之外,其他一切都正常。这行不通,因为我们在 12 台服务器上有一个共享文件系统。
我们已经使用 进行了设置sssd。设置非常简单,我们只需安装几个包,然后运行此命令即可加入:
realm join --user=xxxxxx--computer-ou="ou=EpicWorkloads,ou=EPIC,dc=core,dc=dir,dc=xxxxxx,dc=com" core.dir.xxxxx.com
然后改变了一些设置/etc/sssd/sssd.conf使用大型域:
ldap_idmap_default_domain = core.dir.xxxxx.com
ldap_idmap_autorid_compat = true
ldap_idmap_range_min = 200000
ldap_idmap_range_max = 2000200000
ldap_idmap_range_size = 1000000
问题似乎出在最后一个值上。在 7.4 上,我们可以将其设置为 128,000,000。在 7.3 上,如果我们将其设置为超过 100 万,则会失败。
有人知道发生了什么事吗?
答案1
请参阅 RHEL 7.4 发行说明:https://access.redhat.com/documentation/en-us/red_hat_enterprise_linux/7/html/7.4_release_notes/new_features_authentication_and_interoperability
您没有说是否在 AD 中为用户设置 POSIX 用户/组 ID;也许没有。
特别是“SSSD 支持在没有 UID 或 SID 的设置中用户和组解析、身份验证和授权”一节可能相关:
在传统的系统安全服务守护进程 (SSSD) 部署中,用户和组要么设置了 POSIX 属性,要么 SSSD 可以根据 Windows 安全标识符 (SID) 解析用户和组。通过此更新,在使用 LDAP 作为身份提供者的设置中,即使 LDAP 目录中不存在 UID 或 SID,SSSD 现在也支持以下功能:通过 D-Bus 接口进行用户和组解析通过可插入身份验证模块 (PAM) 接口进行身份验证和授权 (BZ#1425891)
7.4 中有很多与 SSSD 相关的变化(特别是在智能卡方面)