Isso foi resolvido adicionando a seguinte linha a /etc/sssd/sssd.conf
:
subdomain_enumerate = all
Suponho que eu deveria ter lido completamente a página do manual ( man sssd.conf
).
Configurei nossa instância RHEL7 para suportar a integração de login do Active Directory usando a documentação AQUI . Isso descreve o uso do comando " realm
" para configurar o serviço " sssd
", permitindo a integração do AD.
Eu usei os seguintes comandos para configurar sssd
via realmd
:
realm join usw.example.com -U myusername
realm deny --all
realm permit --groups "usw.example.com\Linux Admins"
Eu posso então fazer login na caixa com " [email protected]
", assumindo que " uswuser
" está no grupo " USW\Linux Admins
" do AD. A caixa RHEL7 também (é claro) aparece como uma conta de computador no AD.
Também gostaria de conceder aos usuários em nosso acesso ao domínio " use.example.com
" (note US E em vez de US W ) a esta caixa:
[root@oel7template ~]# realm permit "[email protected]" --verbose
! Invalid login argument '[email protected]' does not match the login format.
realm: Couldn't change permitted logins: Invalid login argument '[email protected]' does not match the login format.
Eu também tentei outras variações, como " use.example.com\useuser
". Suponho que esse comando falhe porque o servidor RHEL7 não está associado ao domínio USE.EXAMPLE.COM
além do domínio USW.EXAMPLE.COM
. Eu posso fazer um " realm join'
para use.wlgore.com
mas isso cria duas contas de computador diferentes, o que é indesejável.
É possível configurar a autenticação do Linux para funcionar de maneira semelhante a um servidor tradicional do Windows? Ou seja, o servidor tem uma única conta de computador em um subdomínio, mas pode se autenticar em qualquer um dos outros domínios. Por exemplo, associe este servidor RHEL7 a " usw.example.com
", mas também conceda acesso a " use.example.com\useuser
"?
Por favor, deixe-me saber se você vê quaisquer outros problemas com esta arquitetura. Pode haver algo fundamental que eu perdi.
Isso foi resolvido adicionando a seguinte linha a /etc/sssd/sssd.conf
:
subdomain_enumerate = all
Suponho que eu deveria ter lido completamente a página do manual ( man sssd.conf
).
Eu ficaria muito surpreso se subdomain_enumerate fizesse o truque. Essa opção só deve ter um efeito em "getent passwd" exibindo os usuários do subdomínio.
O que você pode fazer é abrir o arquivo sssd.conf e adicionar manualmente os usuários às listas simple_allow_users ou simple_allow_groups. AFAIK, o problema é que o realmd não suporta a notação do FQDN para permitir usuários de subdomínio.
Tags authentication sssd rhel7