Я унаследовал сервер Samba 4 Active Directory
(AD). Он отлично работает с winbind
, но в целях безопасности причины, по которым мы хотели бы перейти на sssd
. В домене есть два контроллера домена (основной и дополнительный), оба подключены к сети.
Я создал тестовый клиентский компьютер и выполнил шаги Здесь для подключения к домену с помощью sssd
. Клиент сообщает, что он подключился к домену, и действительно ли отображается в домене (когда я использую Пользователи активного каталога и компьютеры
.)
Однако логины и getent
не работают.
/var/log/auth.log
Jun 12 14:19:16 clientCompName sshd[9349]: Invalid user adusername from xxx.xxx.xx8.149 port 42304
Jun 12 14:19:20 clientCompName sshd[9349]: pam_unix(sshd:auth): check pass; user unknown
Jun 12 14:19:20 clientCompName sshd[9349]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=xxx.xxx.xx8.149
Jun 12 14:19:21 clientCompName sshd[9349]: Failed password for invalid user adusername from xxx.xxx.xx8.149 port 42304 ssh2
Если я выполняю обнаружение области
, Я заметил, что клиенты, похоже, заблокированы для использования winbind
.
root@clientCompName:/etc/pam.d# realm discover ADDOMAIN.MYDOMAN.DE
addomain.mydomain.de
type: kerberos
realm-name: ADDOMAIN.MYDOMAN.DE
domain-name: addomain.mydomain.de
configured: kerberos-member
server-software: active-directory
client-software: winbind
required-package: winbind
required-package: libpam-winbind
required-package: samba-common-bin
login-formats: SMBAD\%U
login-policy: allow-any-login
/etc/pam.d/common-auth
auth [success=2 default=ignore] pam_unix.so nullok_secure
auth [success=1 default=ignore] pam_sss.so use_first_pass
auth requisite pam_deny.so
auth required pam_permit.so
auth optional pam_cap.so
# end of pam-auth-update config
/etc/pam.d/common-session
session [default=1] pam_permit.so
session requisite pam_deny.so
session required pam_permit.so
session optional pam_umask.so
session required pam_unix.so
session optional pam_sss.so
session optional pam_systemd.so
# end of pam-auth-update config
/ etc /pam.d/common-account
account [success=1 new_authtok_reqd=done default=ignore] pam_unix.so
account requisite pam_deny.so
account required pam_permit.so
account sufficient pam_localuser.so
account [default=bad success=ok user_unknown=ignore] pam_sss.so
# end of pam-auth-update config
Есть ли способ преобразовать AD для использования sssd
inste объявление winbind
(или принять оба?)
Это сработало для меня - вы можете исключить пакеты samba, если хотите?
yum install sssd krb5workstation sambacommon authconfig adcli krb5-workstation samba samba-client sssd-libwbclient policycoreutils-python
systemctl enable sssd
systemctl start sssd
systemctl enable smb
systemctl restart smb
authconfig --update --enablesssd --enablesssdauth --enablemkhomedir
отредактируйте строки /etc/nsswitch.conf
, чтобы они выглядели как…
passwd: files sss
shadow: files sss
group: files sss
Затем
kinit adminuser
(используйте учетную запись администратора AD)
klist
(проверьте тикет)
realm join --user=\adminuser@DOMAIN DOMAIN
Редактируйте /etc/sssd/sssd.conf
:
use_fully_qualified_names = False
fallback_homedir = /home/%u
Затем:
systemctl start sssd
Редактируйте /etc/samba/smb.conf
& проверить строки все еще там:
security = ads
realm = DOMAIN
workgroup = ...
Затем:
systemctl restart smb
Тест:
realm discover DOMAIN
id domainuser