我有一台计算机已加入域 A,并且能够对该域中的用户进行身份验证。kerberos 中的默认域领域是域 A。但是,我无法针对应该具有双向信任关系的域 B 进行身份验证。域 B 中的用户仅显示为无效用户。在 sssd 日志中,我收到“[sysdb_search_by_name] (0x0400):没有这样的条目”
这是 sssd 配置。我这里没有配置域 B,当它们在同一个林中时是否需要它?如果我需要添加域 B,我是否需要将 SPN 包含在 keytab 文件中?
还要注意的是该服务器已加入Windows Active Directory 2008R2。
[sssd]
domains = DomainA
config_file_version = 2
services = nss, pam, sudo, ssh
[pam]
pam_pwd_expiration_warning = 200
pam_account_expired_message = Account/password expired, please use selfservice portal to change your password and extend account.
[domain/DomainA]
debug_level = 6
ad_domain = domaina.local
krb5_realm = domaina.local
realmd_tags = manages-system joined-with-samba
cache_credentials = True
id_provider = ad
auth_provider = ldap
krb5_store_password_if_offline = True
default_shell = /bin/bash
ldap_id_mapping = True
ldap_idmap_default_domain_sid = set
subdomains_provider = none
use_fully_qualified_names = False
ldap_user_extra_attrs = altSecurityIdentities:altSecurityIdentities,url
ldap_user_ssh_public_key = altSecurityIdentities
ldap_use_tokengroups = True
fallback_homedir = /home/%u
access_provider = simple
simple_allow_groups = groupa, groupb
答案1
我确实不知道我自己的问题的答案(我无法使用 sssd 解决它),但我能够通过使用PowerBroker开源解决方案。