我有一个由 23 台机器组成的集群。 CentOS 6.7 他们已经通过 SSSD 成功向 AD 进行身份验证一年多了。
在我不知道的情况下,有人将一台计算机移出了搜索库 OU,并将其从小写重命名为大写。它现在是唯一无法向 AD 进行身份验证的计算机。
sssd.conf 具有“case_sensitive = false”,我还将“ldap_sasl_authid”从小写更改为大写以匹配 AD,但在清除 /var/lib/sss/db 和 sssd 重新启动后仍然无法连接。 getent passwd 仅显示本地帐户。
与仍在进行身份验证的其他计算机相比,每个服务和配置文件都是相同的。
重命名遭到网络人士的反对。有什么办法可以让这个工作吗?
答案1
通过离开域并使用正确的小写名称重新加入来修复此问题。运行以下命令。
net ads leave -S domain_controller -U admin_accountnet ads join createupn=host/server_name.domain.com -S domain_controller -U admin_account
原始的 kerberos 密钥表无需重新创建即可工作。