Dieser Beitrag beschreibt einen Ansatz zum Konfigurieren von sssd, um mit mehreren Active Directory-Domänen zu interagieren, die sich in verschiedenen Gesamtstrukturen befinden. Diese Methode beinhaltet das Ändern von /etc/krb5.conf und /etc/sssd/sssd.conf Dateien.
1. Treten Sie der ersten Domäne (domain1.com) aus der ersten Gesamtstruktur bei.
# realm join --verbose domain1.com -U [email protected]
2. Bearbeiten Sie /etc/krb5.conf Datei und fügen Sie die Informationen der sekundären Domain (domain2.com) zum Abschnitt [domain_realm] hinzu.
# vi /etc/krb5.conf [domain_realm] # .example.com = EXAMPLE1.COM [Original entries] # example.com = EXAMPLE1.COM [domain_realm] .domain1.com = DOMAIN1.COM domain1.com = DOMAIN1.COM [New entries] .domain2.com = DOMAIN2.COM domain2.com = DOMAIN2.COM
3. Führen Sie den folgenden Befehl aus, um Oracle Linux der sekundären Domäne beizutreten.
# adcli -vvv join --host-keytab=/etc/krb5.keytab.domain2.com domain2.com -U [email protected]Hinweis :LinuxAD-Benutzer sollten über Administratorrechte verfügen, damit diese Vorgänge erfolgreich sind.
4. Bearbeiten Sie /etc/sssd/sssd.conf Datei und führen Sie die folgende Änderung durch:
# vi /etc/sssd/sssd.conf [sssd] domains =domain1.com config_file_version = 2 [Original entries] services = nss, pam [sssd] domains = domain1.com, domain2.com <---- [New entries] config_file_version = 2 services = nss, pam, ssh
5. Fügen Sie "dyndns_update =false hinzu " Eintrag zum folgenden Abschnitt:
[domain/domain2.com] ......... ........ krb5_keytab = /etc/krb5.keytab.domain2.com ldap_krb5_keytab = /etc/krb5.keytab.domain2.com debug_level = 9 dyndns_update = false <-----
6. Fügen Sie einen neuen Eintrag des sekundären Domänencontrollers mit seiner entsprechenden IP@
hinzu# vi /etc/hosts IP@ domain2.com <-----
7. SSD-Dienst neu starten:
# systemctl restart sssd
Jetzt sollte der Befehl "realm list" Informationen zu domain1.com und domain2.com auflisten:
# realm list domain1.com type: kerberos realm-name: DOMAI1.COM domain-name: domain1.com configured: kerberos-member server-software: active-directory client-software: sssd required-package: oddjob required-package: oddjob-mkhomedir required-package: sssd required-package: adcli required-package: samba-common-tools login-formats: %U login-policy: allow-realm-logins domain2.com type: kerberos realm-name: DOMAIN2.COM domain-name: domain2.com configured: kerberos-member server-software: active-directory client-software: sssd required-package: oddjob required-package: oddjob-mkhomedir required-package: sssd required-package: adcli required-package: samba-common-tools login-formats: %[email protected] login-policy: allow-realm-logins