Desfaça todas as suas alterações e exclua a conta do computador do AD. Remova o pacote winbind
.
Instale uma seleção adequada de pacotes. Em sistemas baseados em Debian, você pode usar apt-get install samba smbclient sssd realmd dnsutils policykit-1 packagekit sssd-tools sssd libnss-sss libpam-sss adcli
.
Não se preocupe se sssd
não iniciar. Ele precisa ser configurado com o comando realm
, que abordaremos daqui a pouco.
Certifique-se de que seu sistema local baseado em Linux tenha seu controlador de domínio em seu servidor DNS. Não adicione nenhum servidor DNS adicional, a menos que faça parte do ambiente do Active Directory. Se você simplesmente editar /etc/resolv.conf
e ignorar o aviso "não editar este arquivo", suas alterações provavelmente serão substituídas. Nesse ponto, seu sistema não autenticará ninguém e poderá até mesmo cair do domínio. (Usuários tendem a ficar insatisfeitos neste momento.)
Verifique se a hora local corresponde à hora no Active Directory, pois o Kerberos não funcionará com uma inclinação de mais de 5 minutos (300 segundos).
Para o seu domínio local contoso.com
, execute estes três comandos como root:
domain=contoso.com # The FQDN itself. Not machine.FQDN
realm discover "$domain" # If this fails, stop and recheck everything
realm join "$domain" # [--user <ad_username>] [--computer-ou <ou>]
Se você precisar fornecer um nome de conta do AD para o realm join
, faça isso com realm join --user <ad_username> "$domain"
, em que <ad_username>
representa um sAMAccountName
não qualificado. Sua própria conta do AD deve funcionar para um mínimo de dez clientes, mesmo que não seja um administrador de domínio, embora administrator
seja uma opção útil se você souber sua senha. A opção --computer-ou
permite especificar a unidade organizacional inicial da conta. Deixe isso em branco, a menos que você saiba seu valor correto (não adivinhe).
Corrija o arquivo sssd.conf
. O ad_hostname
é necessário para algumas versões para contornar um bug . O nível de aninhamento do grupo LDAP permite que sssd
manipule a associação de grupos aninhados.
sed -i "/^ad_domain /s/$/\nad_hostname = $(hostname).$domain/" /etc/sssd/sssd.conf
( echo; echo 'ldap_group_nesting_level = 5'; echo 'ldap_use_tokengroups = false' ) >>/etc/sssd/sssd.conf
service sssd restart