1 - Windowsサーバのドメイン情報
OS:Windowsの2016 Datacenterの
IP:10.0.0.1
DNS:10.0.0.1
ドメインコントローラアドレス:leman.cn
ドメイン管理者:管理者(または管理者)パスワード:パスワード@ 1つの
ドメインユーザ/パスワード:
- C101 /パスワード@ 1
- C102 /パスワード@ 2
- U101 /パスワード@ 1
- U102 /パスワード@ 2
ドメインサービスのデフォルトのポート:3268と389
[レルムを使用して方法]ドメインユーザーに加え、AD 2- SSHました
2.1パッケージをインストールする必要があります
CentOS7:
yum install -y realmd sssd adcli oddjob oddjob-mkhomedir sambasamba-common-tools
Ubuntu18:
apt install realmd sssd sssd-tools libnss-sss libpam-sss adcli samba-common-bin oddjob oddjob-mkhomedir packagekit -y
Red Hat Enterprise Linux6でSSSDは、新たにデーモンを追加し、プロセスは、LDAP、Kerberosなどのアクセス複数の認証サーバに使用することができ、および承認を提供します。
2.2-ディスカバリドメインコントローラ
realm discover-v leman.cn
2.3ドメインコントローラサーバに加入
hostname centos-1 # 不可用localhost
realm join leman.cn -U admin #没有-U参数,默认使用Adminstrator用户
追加の結果を2.4チェック
[root@centos-1 ~]# realm list
leman.cn
type: kerberos
realm-name: LEMAN.CN
domain-name: leman.cn
configured: kerberos-member
server-software: active-directory
client-software: sssd
required-package: oddjob
required-package: oddjob-mkhomedir
required-package: sssd
required-package: adcli
required-package: samba-common-tools
login-formats: %U
login-policy: allow-realm-logins
2.5ユーザーは、ドメイン名を使用してログインする必要はありません。
[root@centos-1 ~]# cat /etc/sssd/sssd.conf -n
1
2 [sssd]
3 domains = leman.cn
4 config_file_version = 2
5 services = nss, pam
6
7 [domain/leman.cn]
8 ad_domain = leman.cn
9 krb5_realm = LEMAN.CN
10 realmd_tags = manages-system joined-with-samba
11 cache_credentials = True
12 id_provider = ad
13 krb5_store_password_if_offline = True
14 default_shell = /bin/bash
15 ldap_id_mapping = True
16 use_fully_qualified_names = False #True改成False
17 fallback_homedir = /home/%u #家目录 默认是/home/%u@%d,表示用户名加域名
18 access_provider = ad
[root@centos-1 ~]#
2.6を再起動しSSSDサービス[[完了]]
systemctl restart sssd
2.7クエリのWindowsドメインアカウント情報
[root@centos-1 ~]# id [email protected]
uid=1037201105(admin) gid=1037200513(domain users) groups=1037200513(domain users)
3 - トラブルシューティング
問題を解決するために作成した3.1ホームディレクトリ
(ログインまたはフラッシュバックは、根本的な問題は、ホームディレクトリを作成することです)
vim /etc/pam.d/common-session
在(session required pam_unix.so)下一行添加下面内容
session required pam_mkhomedir.so skel=/etc/skel/ umask=0022
3.2-プラスドメイン失敗
ドメインに参加するために十分な権限
は次のような情報与えられました:
Couldn't authenticate to active directory: SASL(-1): generic failure: GSSAPI Error: Unspecified GSS failure. Minor code may provide more information (Configuration file does not specify default realm)
adcli: couldn't connect to streamcomputing.com domain: Couldn't authenticate to active directory: SASL(-1): generic failure: GSSAPI Error: Unspecified GSS failure. Minor code may provide more information (Configuration file does not specify default realm)
Insufficient permissions to join the domain
一時的な回避策に関連するDNS(DNSの逆解決)の問題点:
创建/etc/krb5.conf(如果没有),并确保如下配置:
[libdefaults]
default_realm = alphabook.cn
rdns = false
、4-レルムを使用していくつかの方法
- レルムは、-v [AD_NAME]#ディスカバリドメインを発見します
- レルムは、-v [-Uユーザー]レルム名#加入参加域
- レルムリスト#リストされているドメイン
- レルム許可[-ax] [-R分野]特定のユーザーまたはドメイングループドメインユーザのログインを許可するユーザー...#
- レルムは--all [-Rレルム]#許可ドメインログイン拒否します
- レルム休暇-v [-Uユーザー] [レルム名]#退出域