一段时间以来,我一直在使用 ubuntu 18.04 和 sssd 将我的服务器加入到我的 Active Directory 域中。这非常有效,使我能够使用 AD 用户通过 ssh 连接到服务器,并使用 AD 身份验证创建 samba 共享。我通常会设置所有配置文件(krb5、sssd、smb.conf)并用于realm join将服务器加入域。
在 Ubuntu 20 上,我按照相同的步骤将服务器加入域。但是,我的 smb.conf 文件出现错误 - 只要我启用了该设置,smbd 服务就不会启动security = ads。
为了使其工作,我必须运行net ads join命令(这是在我已经运行之后realm join) - 只有这样 smbd 服务才同意以security = ads启用设置的方式启动。
net ads现在我只剩下一些未解决的问题:和之间有什么区别realm,ubuntu-18 和 ubuntu-20 之间有什么变化?
答案1
固态硬盘 (SSSD):
- 不支持 NTLM,但 NTLM 不安全且已过时
- 安装更简单(可以使用 realmd 自动配置)
- 不仅仅是 Active Directory(例如 LDAP)
Samba/Winbind/net 广告:
- 由于支持 NTLM,因此更难保证安全。
- 不支持 AD DNS 老化和清理(即检测是否已删除或更新的服务器的 DNS 条目)
- 从 Oracle Linux 7 开始,SSSD 是首选工具,尽管 Samba 和 Winbind 仍然受到完全支持。
答案2
评论“samba security=ads 是否可以让 sssd 一起工作?我该如何配置它?”
为 smb.conf 添加以下指令对我有用
client signing = if_required
kerberos method = secrets and keytab
security = ads
idmap config * : backend = tdb
idmap config * : range = 3000-7999
workgroup = YOURWORKGROUP
realm = yourworkgroup.com
idmap config YOURWORKGROUP:backend = ad
idmap config YOURWORKGROUP:schema_mode = rfc2307
idmap config YOURWORKGROUP:range = 10000-9999999
参考这个 wiki https://wiki.debian.org/AuthenticatingLinuxWithActiveDirectorySssd