Esse problema foi resolvido ao mover as entradas
override_homedir = /home/%u
default_shell = /bin/bash
da seção [sssd] do sssd.conf para [domain / lab.local]
Eu configurei com sucesso o sssd e posso ssh em um sistema com credenciais do AD. O que estou perdendo é a criação de um diretório home e o conjunto bash como o shell.
Minha suposição é que, se eu fizer logon em um sistema que ainda não tenha uma conta linux local, mas que tenha uma conta AD válida, que um diretório pessoal seja criado na primeira vez que o usuário efetuar login e as shells apropriadas estiverem definidas conforme definido em /etc/sssd/sssd.conf
:
override_homedir = /home/%u
default_shell = /bin/bash
Eu também corri
authconfig --enablesssd --enablesssdauth --enablemkhomedir --update
O que estou perdendo ou estou fazendo uma suposição incorreta sobre minha configuração existente?
Eu quero evitar o uso do recurso de gerenciamento de identidades para Unix do Windows.
Existem duas partes da equação. Um está no SSSD e na interface do Name Service Switch em particular. Essa parte informa qual é o diretório home no sistema e você pode testá-lo com "getent passwd $ username". Contanto que esse comando forneça respostas precisas, o SSSD está funcionando como deveria.
A outra parte é criar os diretórios pessoais, na verdade. Eu recomendaria usar oddjob e pam_oddjob_mkhomedir lá mais velho pam_mkhomedir. Na minha experiência, ele funciona melhor com o SELinux.
Olhe em / var / log / secure para mensagens de erro dos módulos PAM.
Por favor, veja este post primeiro: Sabedoria comum sobre o Active Directory autenticação para servidores Linux?
Para sistemas RHEL / CentOS 6.x, eu faço:
Para o authconfig, algo como:
authconfig --enablesssd --ldapserver=ldap://dc1.ad.blahblah.com --ldapbasedn="dc=ad,dc=blahblah,dc=com" --enablerfc2307bis --enablesssdauth --krb5kdc=dc1.ad.blahblah.com --krb5realm=AD.BLAHBLAH.COM --disableforcelegacy --enablelocauthorize --enablemkhomedir --updateall
Meu sssd.conf simples ficaria assim: link - Reinicia o serviço sssd depois de modificar a configuração.
Eu, então, instalo o oddjob-mkhomedir com: yum install oddjob-mkhomedir
- Você pode ajustar as permissões do diretório home para experimentar em /etc/oddjobd.conf.d/oddjobd-mkhomedir.conf
Verifique se os serviços sssd e oddjob estão configurados para iniciar na inicialização.
Isso deve ser tudo o que é necessário.
Tags authentication sssd linux centos