第 1 章 使用 SSSD 将 RHEL 系统直接连接到 AD

您可以使用 SSSD 访问用户目录用于身份验证和授权，并通过带有用户缓存的通用框架进以允许离线登录。SSSD 高度可配置；提供可插拔验证模块(PAM)和名称交换服务(NSS)集成，以及用于存储本地用户以及从中央服务器检索的扩展用户数据的数据库。在把 RHEL 系统与以下身份服务器类型之一连接时，推荐使用 SSSD：

将 SSSD 配置为直接将 Linux 系统与 AD 集成的最简便方法是使用 realmd 服务。它允许调用者以标准的方式配置网络身份验证和域成员资格。realmd 服务自动发现有关可访问域和域的信息，不需要高级配置加入域或域。

您可以使用 SSSD 与 AD 进行直接和间接集成，并允许您从一个集成方法切换到另一个集成方法。直接集成是将 RHEL 系统引入 AD 环境的简单方法。但是，随着 RHEL 系统份额的增长，您的部署通常需要更好地集中管理身份相关的策略，如基于主机的访问控制、sudo 或 SELinux 用户映射。在初始阶段，您可以在本地配置文件中维护 RHEL 系统的这些配置。但是，在有大量系统的情况下，使用一个置备系统（如 Red Hat Satellite）可以使对配置文件进行分发和管理的任务变得更为容易。当直接集成不再可以满足环境扩展的要求时，应该考虑使用间接集成。有关从直接集成(RHEL 客户端位于 AD 域中)移到间接集成（具有信任 AD 的 IdM）的更多信息，请参阅 将 RHEL 客户端从 AD 域移到 IdM 服务器。

有关哪些类型的集成适合您的用例的更多信息，请参阅决定间接还是直接集成。