Centos 7 설치를 Windows 도메인에 바인딩하는 프로세스를 알아내려고 노력했지만 어려움을 겪고 있습니다. 나는 과거에 몇 개의 상자에서 이 작업을 성공적으로 수행했지만 지금은 프로세스를 문서화하려고 시도하고 있으며 매우 이상한 일을 하고 있습니다.
다음 프로세스를 사용하여 바인딩을 수행했습니다.
- NTP 설치 및 구성
- 소프트웨어 패키지 설치: realmd, 이상한 작업, 이상한 작업-mkhomedir, sssd, samba-common, krb5-workstation, adcli
- Kerberos 티켓 만들기: kinit[이메일 보호됨]
- 필드 조인
- SSD 구성 수정
[SSD] 도메인 = my.domain 프로필 버전 = 2 서비스 = nss,pam [도메인 이름/my.domain] ad_domain = my.domain krb5_realm = 내 도메인 realmd_tags=시스템 연결 및 adcli 관리 캐시_자격 증명=참 id_provider = 광고 krb5_store_password_if_offline=참 Default_shell = /bin/bash ldap_id_mapping = 참 정규화된 이름 사용 = false Fallback_homedir = /home/%u@%d access_provider = 광고 override_homedir = /홈/%u override_shell = /bin/bash
- SSD 서비스 다시 시작
이전에는 이 방법이 작동했지만 어떤 이유로 네트워크 자격 증명을 사용하여 로그인할 수 없지만 동료는 자신의 계정 중 하나만 사용하여 성공적으로 로그인할 수 있습니다.
sssd 구성에 디버깅을 추가하면 로그 파일에 오류가 표시됩니다.
Could not convert objectSID [MY AD SID HERE] to a UNIX ID
또한 AD에서 실제 계정 이름을 가져왔으므로 정보를 가져오는 것임에 틀림없습니다. 우리는 시스템에 대해 동일한 권리를 갖고 있지만 그것은 말이 되지 않습니다.
내가 시도할 수 있는 다른 제안이 있나요?
답변1
해결책은 ldap에 표시되는 ID 매핑 범위를 확장하는 것이었습니다. 광고가 매우 크고 기본 범위가 해당 범위의 모든 사용자를 포괄할 만큼 크지 않은 것 같습니다. 즉, 볼 수 있는 objectSID만 매핑할 수 있다는 의미입니다. 내 SID는 내 동료의 것보다 훨씬 높기 때문에 그 사람은 로그인할 수 있지만 나는 그렇지 않습니다.
해결책은 SSSD.conf의 기본 섹션에 다음을 추가하는 것입니다.
ldap_idmap_default_domain_sid = 도메인 SID ldap_idmap_range_min = 200000 ldap_idmap_range_max = 2000200000 ldap_idmap_range_size = 1000000
인용하다: https://lists.fedorahosted.org/archives/list/[이메일 보호됨]/스레드/2YYG6LPUYWX2TUTD5SY5NNTHOTQQIJTD/