我一直在尝试确定将 Centos 7 安装绑定到 Windows 域的过程,但我很挣扎。过去我已经成功地在几个盒子上做到了这一点,但我现在试图记录这个过程,它做了非常奇怪的事情。
我已设法使用以下过程执行绑定:
- 安装和配置ntp
- 安装软件包:realmd、oddjob、oddjob-mkhomedir、sssd、samba-common、krb5-workstation、adcli
- 创建 Kerberos 票证:kinit[电子邮件受保护]
- 领域加入
- 修改sssd配置
[SSD] 域 = my.domain 配置文件版本 = 2 服务 = nss、pam [域名/my.domain] ad_domain = 我的.domain krb5_realm = MY.DOMAIN realmd_tags = 管理系统连接与 adcli 缓存_凭据 = True id_provider = 广告 krb5_store_password_if_offline = True 默认_shell = /bin/bash ldap_id_mapping = True 使用完全限定名称 = false Fallback_homedir = /home/%u@%d access_provider = 广告 override_homedir = /home/%u override_shell = /bin/bash
- 重启SSD服务
这在过去是有效的,但由于某种原因,我无法使用我的网络凭据登录,但是我的同事只能使用他的一个帐户成功登录。
当我们将调试添加到 sssd 配置时,日志文件显示错误:
Could not convert objectSID [MY AD SID HERE] to a UNIX ID
它还从 AD 中提取了我的实际帐户名,因此它肯定是拉取信息。我们在系统上拥有相同的权利,但这没有意义。
关于我还可以尝试什么的任何建议?
答案1
解决方案是扩展 ldap 中可见的 id 映射范围 ldap,我们的广告非常大,看起来默认范围不足以覆盖该范围内的所有用户,这意味着它只能将它可以看到的objectSID。我的 SID 远远高于我的同事,这就是为什么他能够登录而我却不能。
解决方案是将以下内容添加到 SSSD.conf 的主要部分
ldap_idmap_default_domain_sid = 域的 SID ldap_idmap_range_min = 200000 ldap_idmap_range_max = 2000200000 ldap_idmap_range_size = 1000000
参考: https://lists.fedorahosted.org/archives/list/[电子邮件受保护]/线程/2YYG6LPUYWX2TUTD5SY5NNTHOTQQIJTD/