
나는sssd를 시험해 보는 중Ubuntu 18.04 호스트에서 인증을 위해 krb5를 사용하려고 하는데 실제 사용자 그룹을 표시하는 방법을 알 수 없습니다( groups
사람이 읽을 수 있는 이름 대신 일종의 Windows SID 표시). 기본 그룹은 괜찮아 보이지만(도메인 사용자...) 나머지(보조)는 모두 Sxxx 번호입니다. 이것이 AD 설정입니까, 아니면 내 SSD 구성과 관련된 것입니까?
$ groups
Domain [email protected] [email protected] [email protected]...
sssd.conf
[nss]
filter_groups = root
filter_users = root
reconnection_retries = 3
[pam]
reconnection_retries = 3
[sssd]
domains = ad.mycorp.com
config_file_version = 2
services = nss, pam
reconnection_retries = 3
sbus_timeout = 30
[domain/ad.mycorp.com]
ad_domain = ad.mycorp.com
krb5_realm = ad.mycorp.com
realmd_tags = manages-system joined-with-adcli
cache_credentials = True
default_shell = /bin/bash
fallback_homedir = /home/%d/%u
krb5_store_password_if_offline = True
use_fully_qualified_names = True
ldap_sasl_authid = UBU-TEST1$
ldap_id_mapping = True
access_provider = ldap
id_provider = ldap
auth_provider = krb5
chpass_provider = krb5
ldap_uri = ldaps://ad.mycorp.com
ldap_search_base = ou=mycorp,dc=mycorp,dc=com
ldap_tls_cacert = /etc/ssl/certs/ca-certificates.crt
ldap_tls_reqcert = allow
dns_discovery_domain = ad.mycorp.com
ldap_user_search_base = ou=userid,ou=mycorp,dc=mycorp,dc=com
ldap_group_search_base = ou=mycorp,dc=mycorp,dc=com
ldap_user_object_class = user
ldap_user_name = sAMAccountName
ldap_user_fullname = displayName
ldap_user_home_directory = unixHomeDirectory
ldap_user_principal = userPrincipalName
ldap_group_object_class = group
ldap_group_name = sAMAccountName
ldap_schema = rfc2307bis
ldap_access_order = expire
ldap_account_expire_policy = ad
ldap_force_upper_case_realm = true
답변1
조금 오래되었지만 나에게 도움이 되는 솔루션을 공유하겠다고 생각했습니다.
sssd.conf 파일의 [domain/example.local] 섹션에 한 줄을 추가하여 이 문제를 해결했습니다.
ad_server = <domain controller name>.example.local
그리고 유지
ldap_id_mapping = True
답변2
ldap_id_mapping = false
그러면 AD에서 POSIX 속성을 가져옵니다.
이 옵션을 True로 설정하면 sssd는 SID에서 UID, GID를 생성합니다.
답변3
sssd 캐시를 지웠나요? #systemctl sssd 중지; rm -r /var/lib/sss/db/* ; systemctl 시작 sssd
AD에 POSIX 속성이 설정되어 있는지 확인하세요. ldapsearch로도 확인할 수 있습니다.