Red Hat Training

A Red Hat training course is available for Red Hat Enterprise Linux

2.2.2. 使用 ID 映射配置 AD 域作为 SSSD 的提供程序

先决条件

确保 AD 系统和 Linux 系统都已正确配置:
  • 验证名称解析配置。特别是,验证 DNS SRV 记录。例如,对于名为 ad.example.com 的域:
    • 验证 DNS SRV LDAP 记录: 
      # dig -t SRV _ldap._tcp.ad.example.com
    • 验证 AD 记录: 
      # dig -t SRV _ldap._tcp.dc._msdcs.ad.example.com
    如果您稍后将 SSSD 连接到特定的 AD 域控制器,则不需要验证 DNS SRV 记录。
  • 验证两个系统上的系统时间是否同步。这样可确保 Kerberos 能够正常工作。
  • 确保 AD 域控制器上的以下端口已打开并可以被 RHEL 主机访问。

    表 2.1. 使用 SSSD 将 Linux 系统直接集成到 AD 所需的端口

    服务 端口 协议 备注
    DNS 53 UDP 和 TCP  
    LDAP 389 UDP 和 TCP  
    Kerberos 88 UDP 和 TCP  
    Kerberos 464 UDP 和 TCP kadmin 用来设置和更改密码
    LDAP 全局目录 3268 TCP 如果使用 id_provider = ad 选项
    NTP 123 UDP 可选
    Samba 445 UDP 和 TCP 对于 AD 组策略对象 (GPO)

配置本地系统

红帽建议使用 realm join 命令来配置系统。请参阅 第 3 章 使用 realmd 连接到 Active Directory 域realmd 套件自动编辑所有必要的配置文件。例如: 
# realm join ad.example.com
如果您不想使用 realmd,您可以手动配置系统。请参阅在 Red Hatnbsp 中手动将 SSSD 客户端连接到 Active Directory 域;Hat Knowledgebase.

可选:配置用户主目录和 Shell

当用户首次登录 Linux 系统时,pam_oddjob_mkhomedir.so 库会自动创建主目录。默认情况下,SSSD 从 AD 身份提供程序检索主目录的格式。在 Linux 客户端中自定义目录格式:
  1. 打开 /etc/sssd/sssd.conf 文件:
  2. [domain] 部分,使用以下选项之一:
    • fallback_homedir 设置回退主目录格式,只有在 AD 中未定义主目录时才使用
    • override_homedir 设置主目录模板,始终覆盖 AD 中定义的主目录
    例如,要始终使用格式 /home/domain_name/user_name: 
    [domain/EXAMPLE]
[... file truncated ...]
override_homedir = /home/%d/%u
    详情请查看 sssd.conf(5) man page。
默认情况下,SSSD 从 AD 中配置的 loginShell 参数检索用户 shell 的信息。在 Linux 客户端中自定义用户 shell 设置:
  1. 打开 /etc/sssd/sssd.conf 文件:
  2. 使用这些选项定义所需的用户 shell 设置:
    • shell_fallback 设置回退值,仅在 AD 中没有定义 shell 时才使用
    • override_shell 设置始终覆盖 AD 中定义的 shell 的值
    • default_shell 设置默认 shell 值
    • allowed_shellsvetoed_shells 设置允许或黑名单的 shell 列表
    详情请查看 sssd.conf(5) man page。

加载新配置

  • 更改配置文件后重启 SSSD。 
    # systemctl restart sssd.service

其它资源

  • 有关 LDAP 和 Kerberos 供应商的其它配置选项请查看 sssd-ldap(5)sssd-krb5(5) man page。
  • 有关 AD 供应商的其它配置选项请查看 sssd-ad(5) man page。