Configuração do domínio múltiplo realmd / sssd no RHEL7?

2

Configurei nossa instância RHEL7 para suportar a integração de login do Active Directory usando a documentação AQUI . Isso descreve o uso do comando " realm " para configurar o serviço " sssd ", permitindo a integração do AD.

Eu usei os seguintes comandos para configurar sssd via realmd :

realm join usw.example.com -U myusername
realm deny --all
realm permit --groups "usw.example.com\Linux Admins"

Eu posso então fazer login na caixa com " [email protected] ", assumindo que " uswuser " está no grupo " USW\Linux Admins " do AD. A caixa RHEL7 também (é claro) aparece como uma conta de computador no AD.

Também gostaria de conceder aos usuários em nosso acesso ao domínio " use.example.com " (note US E em vez de US W ) a esta caixa:

[root@oel7template ~]# realm permit "[email protected]" --verbose
 ! Invalid login argument '[email protected]' does not match the login format.
realm: Couldn't change permitted logins: Invalid login argument '[email protected]' does not match the login format.

Eu também tentei outras variações, como " use.example.com\useuser ". Suponho que esse comando falhe porque o servidor RHEL7 não está associado ao domínio USE.EXAMPLE.COM além do domínio USW.EXAMPLE.COM . Eu posso fazer um " realm join' para use.wlgore.com mas isso cria duas contas de computador diferentes, o que é indesejável.

É possível configurar a autenticação do Linux para funcionar de maneira semelhante a um servidor tradicional do Windows? Ou seja, o servidor tem uma única conta de computador em um subdomínio, mas pode se autenticar em qualquer um dos outros domínios. Por exemplo, associe este servidor RHEL7 a " usw.example.com ", mas também conceda acesso a " use.example.com\useuser "?

Por favor, deixe-me saber se você vê quaisquer outros problemas com esta arquitetura. Pode haver algo fundamental que eu perdi.

    
por Caesar Kabalan 23.03.2015 / 20:33

2 respostas

1

Isso foi resolvido adicionando a seguinte linha a /etc/sssd/sssd.conf :

subdomain_enumerate = all

Suponho que eu deveria ter lido completamente a página do manual ( man sssd.conf ).

    
por 24.03.2015 / 00:15
0

Eu ficaria muito surpreso se subdomain_enumerate fizesse o truque. Essa opção só deve ter um efeito em "getent passwd" exibindo os usuários do subdomínio.

O que você pode fazer é abrir o arquivo sssd.conf e adicionar manualmente os usuários às listas simple_allow_users ou simple_allow_groups. AFAIK, o problema é que o realmd não suporta a notação do FQDN para permitir usuários de subdomínio.

    
por 24.03.2015 / 09:59