第 1 章 使用 SSSD 将 RHEL 系统直接连接到 AD

您需要两个组件才能将 RHEL 系统连接到 Active Directory(AD)。一个组件 SSSD 与中央身份和身份验证源交互,另一个组件 realmd 会检测可用的域并配置底层 RHEL 系统服务(本例中为 SSSD)以连接到该域。

这部分论述了使用系统安全服务守护进程(SSSD)将 RHEL 系统连接到 Active Directory(AD)。

1.1. 使用 SSSD 直接集成概述

您可以使用 SSSD 访问用户目录用于身份验证和授权,并通过带有用户缓存的通用框架进以允许离线登录。SSSD 高度可配置;提供可插拔验证模块(PAM)和名称交换服务(NSS)集成,以及用于存储本地用户以及从中央服务器检索的扩展用户数据的数据库。在把 RHEL 系统与以下身份服务器类型之一连接时,推荐使用 SSSD:

  • Active Directory
  • RHEL 中的身份管理(IdM)
  • 任何通用 LDAP 或 Kerberos 服务器
注意

默认情况下,直接与 SSSD 集成只能在单个 AD 林中正常工作。

将 SSSD 配置为直接将 Linux 系统与 AD 集成的最简便方法是使用 realmd 服务。它允许调用者以标准的方式配置网络身份验证和域成员资格。realmd 服务自动发现有关可访问域和域的信息,不需要高级配置加入域或域。

您可以使用 SSSD 与 AD 进行直接和间接集成,并允许您从一个集成方法切换到另一个集成方法。直接集成是将 RHEL 系统引入 AD 环境的简单方法。但是,随着 RHEL 系统份额的增长,您的部署通常需要更好地集中管理身份相关的策略,如基于主机的访问控制、sudo 或 SELinux 用户映射。在初始阶段,您可以在本地配置文件中维护 RHEL 系统的这些配置。但是,在有大量系统的情况下,使用一个置备系统(如 Red Hat Satellite)可以使对配置文件进行分发和管理的任务变得更为容易。当直接集成不再可以满足环境扩展的要求时,应该考虑使用间接集成。有关从直接集成(RHEL 客户端位于 AD 域中)移到间接集成(具有信任 AD 的 IdM)的更多信息,请参阅 将 RHEL 客户端从 AD 域移到 IdM 服务器。

重要

如果 IdM 处于 FIPS 模式,IdM-AD 集成无法正常工作,因为 AD 只支持使用 RC4 或 AES HMAC-SHA1 加密,而 FIPS 模式中的 RHEL 9 默认只允许 AES HMAC-SHA2。要在 RHEL 9 中启用 AES HMAC-SHA1,请输入 # update-crypto-policies --set FIPS:AD-SUPPORT

IdM 不支持更严格的 FIPS:OSPP 加密策略,该策略只应用于通用标准评估的系统。

有关哪些类型的集成适合您的用例的更多信息,请参阅决定间接还是直接集成

其它资源

  • realm(8)手册页.
  • sssd-ad(5) 手册页.
  • sssd(8)手册页.