我想用于realmd从 Ubuntu 14.04 LTS 加入 Active Directory 域。

为此，我刚刚realmd使用以下命令安装了一些依赖项：aptitude install realmd sssd sssd-tools samba-common krb5-user.

安装后，我尝试使用realm --verbose join ad.example.com -U Administrator要求输入管理员密码的命令加入我的域，但它们因以下输出而崩溃：

 * Resolving: _ldap._tcp.ad.example.com
 * Performing LDAP DSE lookup on: 10.7.0.2
 * Successfully discovered: ad.example.com
Password for Administrator: 
 * Unconditionally checking packages
 * Resolving required packages
 * Installing necessary packages: samba-common-bin
 * LANG=C LOGNAME=root /usr/bin/net -s /var/cache/realmd/realmd-smb-conf.QARGGX -U Administrator ads join ad.example.com
Enter Administrator's password:DNS update failed: NT_STATUS_INVALID_PARAMETER

Using short domain name …

我们正在为我们的一些开发人员试用 Ubuntu 14.04 桌面环境，我已经将这些机器连接到使用 SSSD 的域中。这一直工作正常。但是系统将域用户识别为 user@DOMAIN.COM，因此 'ls -l' 输出非常混乱。事实证明，他们有一些硬编码用户名的测试脚本，因此@DOMAIN.COM 破坏了它们。

有没有办法让 SSSD 将域用户显示为“用户名”而不是“用户名@DOMAIN.COM”？如果没有，是否有允许我这样做的系统？

谢谢

上下文

我想限制一些 AD 用户使用特定脚本，限制他们在这台特定机器上可以做什么。

因此，与其将它们与/bin/bash（例如）连接起来，我想强制它们使用/path/to/my/script. 这些用户位于特定的 AD 组中。

其他人应该能够使用真正的shell。

经典的方式

如果那些用户是本地用户，我只会更改 .bashrc 中的 shell 字段/etc/passwd。

sssd方式

有没有办法只为该组的成员提供不同的 shell 值？

如果不是，你会怎么做？

我有一个运行 的 Linux 域sssd，我们称这个域为 NJ。

我希望 NJ 域上的机器能够针对位于防火墙后面的不同域（称为 NY）上的 Active Directory ldap 服务器进行身份验证。

是否只允许两个域之间的端口 389 就足够了，或者是否有任何其他端口需要 NJ 域上的机器对 NY 域中的 ldap 服务器进行身份验证？

我有很多 Ubuntu Server 17.04 主机必须加入现有的 Windows AD 域（Windows Server 2016）。我以前从未这样做过，但我知道有几种方法可以实现这一点，例如：同样，Centrify、SSSD 和 Winbind。

您能否分享您的一般经验并说明这些解决方案中的每一个都多么可靠、易于配置/维护？

如果您可以分享涵盖该主题的最新文章/手册的任何链接，那也很棒，因为我只能找到几个 3 到 5 岁的文章，而且它们并没有真正按预期工作。

非常感谢您的帮助！

最近我们更改了 LDAP 服务器（在 Suse Enterprise 中运行）的 IP 地址（并​​添加了一些组），因此也应该更改我们拥有的所有服务器的 ldap 身份验证配置。

大多数服务器都在 Centos 上。我们将 /etc/sssd/sssd.conf 中的 ldap_uri 参数修改为新服务器，但是当我们登录服务器并进行：

id user

我们获取的是旧服务器而不是新服务器的用户信息。事实上，如果我们将 sssd.conf 更改为使用不存在的 ldap_uri，我们仍然会从命令 id user 获得相同的响应。

authldapconfig --test 说缓存被禁用，我们还尝试重新启动服务器和客户端，但没有任何效果。是否有一些必须刷新的 ldap 客户端缓存？

注意：在 /etc/openldap/ldap.conf 中对 uri 进行了注释。

sssd.conf 文件是：

[domain/default]

ldap_id_use_start_tls = False
cache_credentials = True
ldap_search_base = dc=maxcrc,dc=com
krb5_realm = EXAMPLE.COM
krb5_server = kerberos.example.com
id_provider = ldap
auth_provider = ldap
chpass_provider = ldap
#ldap_uri = ldap://172.31.7.17/
ldap_uri = ldap://172.31.7.206/
ldap_tls_cacertdir = /etc/openldap/cacerts
ldap_tls_reqcert = never
ldap_schema = rfc2307bis
entry_cache_timeout = …

背景

我正在尝试以sssd我在 AWS Directory Services Simple AD 中创建的用户身份登录（通过 SSH，登录到正在运行的 Amazon Linux EC2 实例）。我正在使用 Kerberos 进行身份验证并使用 LDAP（全部通过sssd.）识别用户。我通过多个代理服务器上的 ELB 连接到 Simple AD。

问题

当我将 ELB 配置为对 Kerberos 端口使用 TLS 时，sssd无法连接到 Kerberos 服务器并且登录失败。如果没有 TLS，它工作得很好，一旦我在没有 TLS 的情况下登录，凭据就会被缓存，当我重新打开 TLS 时，登录继续工作。

RFC 6251解释了如何通过 TLS 传输 Kerberos V5，所以假设，这应该是可能的，对吧？我不确定我是否没有正确执行此操作，或者是否sssd不支持基于 TLS 的 Kerberos。谷歌搜索不会产生任何富有成果的东西，并且手册页中没有任何看似相关的内容。

请注意，我通过 ELB 使 LDAPS 完美运行，所以我至少知道我并没有完全偏离轨道。

TL;DR 如何回答我的问题

告诉我：

• 通过 TLS 设置 Kerberos 时我做错了什么，或者
• sssd 不支持通过 TLS 的 Kerberos

错误信息

这是来自sssd. 请注意，我编辑了 IP 地址。

(Thu Dec …

我在 CentOS 6.3 对 2008R2 AD DC 进行身份验证的这个线程中描述了一个非常相似的问题。

这是我的 krb5.conf，我知道 XXXXXXX.LOCAL 是真正的域名：

[logging]
 default = FILE:/var/log/krb5libs.log
 kdc = FILE:/var/log/krb5kdc.log
 admin_server = FILE:/var/log/kadmind.log

[libdefaults]
 default_realm = XXXXXXX.LOCAL
 dns_lookup_realm = false
 dns_lookup_kdc = false
 ticket_lifetime = 24h
 renew_lifetime = 7d
 forwardable = true
 verify_ap_req_nofail = false

[realms]
 XXXXXXX.LOCAL = {
 kdc = ad1.XXXXXXX.local
 kdc = ad2.XXXXXXX.local
 admin_server = ad1.XXXXXXX.local
 default_domain = XXXXXXX.LOCAL
}

[domain_realm]
 .XXXXXXX.local = XXXXXXX.LOCAL
 XXXXXXX.local = XXXXXXX.LOCAL
 .XXXXXXX.com = XXXXXXX.LOCAL
 XXXXXXX.com = XXXXXXX.LOCAL

当我做一个：

kinit …

所以在问了这个问题之后，我一直在测试 FreeIPA 作为基于这个问题的中央认证源：管理对多个 linux 系统的访问

我遇到的一个问题是，如果用户被授予本地 root 权限，他们又可以以 FreeIPA 目录中的任何用户身份登录。即使该用户无权通过 HBAC 规则访问该特定机器。

示例场景：

• FreeIPA 客户端机器PC1。
• FreeIPA 中的两个用户：Bob 和 Alice。
• 爱丽丝不通过HBAC规则允许访问PC1。Bob 在 PC1 上有本地根。Bob 可以su成为 PC1 上的 Alice。

我能找到的唯一信息是在 /etc/pam.d/su 中注释掉这一行：

auth            sufficient      pam_rootok.so

如果他尝试以下操作，它现在会向本地 root 询问 Alice 的密码：su alice

但是，如果 Bob 具有 root 访问权限，他可以轻松启用上述 PAM/su 行。FreeIPA 不应该阻止 Alice 的帐户通过直接登录尝试或本地 root su访问 PC1吗？如何防止本地根用户以任何 FreeIPA 用户身份登录？

尝试使用Windows AD帐户登录Linux系统。使用 SSSD 配置成功。

使用 LDAP 作为身份和访问提供程序，使用 Kerberos 作为身份验证提供程序。

我在没有将 Linux 系统加入域的情况下完成了这一切。

现在我尝试将 LDAP 配置为 sudo 提供程序。但它并不成功。我无法提升广告用户的 sudo 权限。我什至尝试过使用 sudoers 文件，在那里我可以提升特定用户的权限，但不能提升广告组的权限。

这是 SSSD 配置 wrt sudo 配置

**sudo_provider = ldap

ldap_sudo_search_base = ou=groups,dc=ad,dc=example,dc=com
ldap_sudorule_object_class = sudoRole
ldap_sudorule_object_class = top
ldap_sudorule_command = ALL
ldap_sudorule_host = ALL
ldap_sudorule_user = %domain_group
ldap_sudorule_runasuser = ALL
ldap_sudorule_runas = ALL
ldap_sudorule_runasgroup = ALL
ldap_sudorule_option = !authenticate**

我尝试在调试级别 7 启用日志记录，它提到无法加载本地规则。

问候，乌代。