Eu realmente não tenho a resposta para a minha própria pergunta (eu não poderia resolvê-lo usando sssd), mas eu fui capaz de resolver o meu problema usando o Solução de fonte aberta PowerBroker .
Eu tenho uma máquina que está associada ao domínio A e é capaz de autenticar bem os usuários nesse domínio. O domínio de domínio padrão no kerberos é o domínio A. No entanto, não consigo autenticar no domínio B, que deve ter uma relação de confiança bidirecional. Os usuários no domínio B são exibidos apenas como usuários inválidos. E nos logs sssd eu recebo "[sysdb_search_by_name] (0x0400): Nenhuma tal entrada"
Aqui está a configuração do sssd. Eu não tenho o domínio B configurado aqui, é necessário quando está na mesma floresta? Se eu precisar adicionar o domínio B, preciso incluir o SPN no arquivo keytab?
Também é importante notar que o servidor está associado ao Windows Active Directory 2008R2.
[sssd]
domains = DomainA
config_file_version = 2
services = nss, pam, sudo, ssh
[pam]
pam_pwd_expiration_warning = 200
pam_account_expired_message = Account/password expired, please use selfservice portal to change your password and extend account.
[domain/DomainA]
debug_level = 6
ad_domain = domaina.local
krb5_realm = domaina.local
realmd_tags = manages-system joined-with-samba
cache_credentials = True
id_provider = ad
auth_provider = ldap
krb5_store_password_if_offline = True
default_shell = /bin/bash
ldap_id_mapping = True
ldap_idmap_default_domain_sid = set
subdomains_provider = none
use_fully_qualified_names = False
ldap_user_extra_attrs = altSecurityIdentities:altSecurityIdentities,url
ldap_user_ssh_public_key = altSecurityIdentities
ldap_use_tokengroups = True
fallback_homedir = /home/%u
access_provider = simple
simple_allow_groups = groupa, groupb
Eu realmente não tenho a resposta para a minha própria pergunta (eu não poderia resolvê-lo usando sssd), mas eu fui capaz de resolver o meu problema usando o Solução de fonte aberta PowerBroker .
Tags sssd