Мне удалось успешно следовать этому документу, чтобы заставить sssd
работать с моим доменом Active Directory , но мне было грустно узнать, что sssd
не поддерживает аутентификацию с внешними доверительными отношениями.
Я читал, что вы действительно можете присоединиться к нескольким доменам с помощью krb5
и samba
(?), поэтому я попытался сделайте это, скопировав мой существующий /etc/samba/smb.conf
и отредактировав его, чтобы отразить дополнительный домен, чтобы он начинался так:
[global]
workgroup = ANOTHER
client signing = yes
client use spnego = yes
kerberos method = secrets and keytab
realm = ANOTHER.EXAMPLE.COM
security = ads
Затем я отредактировал / etc / krb5. conf
, чтобы добавить мой новый домен ANOTHER.EXAMPLE.COM
в раздел [realms]
следующим образом:
[libdefaults]
default_realm = HI.EXAMPLE.COM
kdc_timesync = 1
ccache_type = 4
forwardable = true
proxiable = true
rdns=false
fcc-mit-ticketflags = true
[realms]
ANOTHER.EXAMPLE.COM = {
kdc = another.example.com
admin_server = another.example.com
master_kdc = another.example.com
default_domain = another.example.com
}
Наконец, я сделал kinit -V (скрытый) и он запросил пароль и успешно прошел аутентификацию. Затем я подключил
сетевую рекламу -U my.user /etc/samba/smb_another.conf
, снова ввел свой пароль и получил следующее:
Using short domain name -- ANOTHER
Joined 'SERVER9' to dns domain 'another.example.com'
No DNS domain configured for server9. Unable to perform DNS Update.
DNS update failed: NT_STATUS_INVALID_PARAMETER
Хорошо, неплохо, но я видел это вид ошибки раньше, и он все еще работал. Тогда я пробую getent passwd (скрытый) зависает примерно на 20 секунд и возвращается пустым -передал.
Какие-либо предложения, советы или советы о том, возможно ли это вообще?
Оказывается, мне нужно было использовать UPN для входа в систему. После попытки getent passwd
он работает!