linux – 问:RHEL,SSSD,Active Directory

副标题#e# 大家下午好.我一直在阅读关于让 Linux系统使用AD进行身份验证的各种帖子,但是还没有看到任何接近我正在击败我的东西. 这里有很多设置,所以请耐心等待. 首先,我们的目标是让所有Linux和Unix系统都针对AD进行身份验证.数百个系统不是可选的;用户帐

副标题#e#

大家下午好.我一直在阅读关于让
Linux系统使用AD进行身份验证的各种帖子,但是还没有看到任何接近我正在击败我的东西.

这里有很多设置,所以请耐心等待.

首先,我们的目标是让所有Linux和Unix系统都针对AD进行身份验证.数百个系统不是可选的;用户帐户管理早已成为一个问题.

我们有几个AD实例:一个是“管理AD”(“MAD”),其中所有系统管理员帐户都应该存在. MAD不信任其他域名.所有其他域(“CAD”,“FAD”,“BAD”)都信任MAD.大多数系统将与CAD,FAD或BAD相关联.只有内部系统才会与MAD相关联.

主要平台是RHEL,我有5,6和7的混合物.5不会很快消失,尽管在不到一年的时间里它不再支持RH,我仍然需要得到人口5与AD集成.任何解决方案都需要在5,6和7之间工作,因为我们不希望支持多种方式.

我的主要选择(至少是我正在研究的选项)是Winbind和SSSD.鉴于两者之间的选择,我更喜欢SSSD,因为Winbind“很老”.还有一个要求是“groups”和“id”从AD产生信息,因为我们打算使用openssh的“AllowGroups”功能来限制登录到特定的AD组.

我已经按照每一本手册,每一个方法,每一个指南,当它归结为它时,总会有一件似乎没有用的文件阻止我.

一般来说,我对unix / linux相当强大,但我对AD,Kerberos或LDAP并不了解.

出于实验目的,我开始重新安装RHEL7关闭ISO(带有一些基本配置的kickstart),在KS中没有设置认证位.

第1步:同步时间.完成.

第2步:安装/激活oddjob.完成.

步骤3:确保目标系统有正向和反向DNS条目.完成.手动到目前为止,我不能依赖后面的步骤来做到正确.我会应付.

第4步:配置Kerberos. santized版本的/etc/krb5.conf:

includedir /var/lib/sss/pubconf/krb5.include.d/
[logging]
 default = FILE:/var/log/krb5libs.log
 kdc = FILE:/var/log/krb5kdc.log
 admin_server = FILE:/var/log/kadmind.log

[libdefaults]
 default_realm = CAD.LAB
 dns_lookup_realm = true
 dns_lookup_kdc = true
 ticket_lifetime = 24h
 renew_lifetime = 7d
 forwardable = true

[realms]
 CAD.LAB = {
  kdc = cad_dc_01.cad.lab
 }

[domain_realm]
 .cad.lab = CAD.LAB
 cad.lab = CAD.LAB

第5步:设置samba.conf就足够了SSSD. /etc/samba/smb.conf [globals]部分,已清理:

[global]
workgroup = CAD
client signing = yes
client use spnego = yes
kerberos method = secrets and keytab
log file = /var/log/samba/%m.log
log level = 0
password server = cad_dc_01.cad.lab
realm = CAD.LAB
security = ads

第6步:将系统加入CAD. “kinit Administrator”后跟“net ads join -k”.工作没有任何问题.

第7步:配置SSSD.清理/etc/sss/sssd.conf:

[sssd]
domains = CAD
services = nss,pam
config_file_version = 2
cache_credentials = true
debug_level = 7

[domain/CAD]
enumerate = true
# I know enumerate will cause problems later,I'm only turning it on for lab
debug_level = 7
id_provider = ad
ad_server = cad_dc_01.cad.lab
auth_provider = ad
chpass_provider = ad
access_provider = ad
default_shell = /bin/bash
fallback_homedir = /home/%u

[nss]
debug_level = 7

[pam]
debug_level = 7

接下来是“systemctl start sssd”.这似乎有效,但没有AD登录工作.

浏览/var/log/sssd/sssd_CAD.log,我发现一些东西可以让我知道哪些事情搞砸了,但我没有成功找到修复它们的方法:我读过的每一个指南给出一系列步骤并假设每个步骤都有效.当其中一个步骤不起作用时,我发现什么都没有找到帮助我弄清楚出了什么问题.

除非有人问,否则我不会发布整个sssd_CAD.log,但这里是第一个出错的指标.

(Tue May 31 12:35:05 2016) [sssd[be[CAD]]] [ad_set_sdap_options] (0x0100): Option krb5_realm set to CAD
(Tue May 31 12:35:05 2016) [sssd[be[CAD]]] [sdap_set_sasl_options] (0x0100): Will look for rhel7lab.CAD.LAB@CAD in default keytab
(Tue May 31 12:35:05 2016) [sssd[be[CAD]]] [select_principal_from_keytab] (0x0200): trying to select the most appropriate principal from keytab
(Tue May 31 12:35:05 2016) [sssd[be[CAD]]] [find_principal_in_keytab] (0x0400): No principal matching rhel7lab.CAD.LAB@CAD found in keytab.
(Tue May 31 12:35:05 2016) [sssd[be[CAD]]] [find_principal_in_keytab] (0x0400): No principal matching rhel7lab$@CAD found in keytab.
(Tue May 31 12:35:05 2016) [sssd[be[CAD]]] [find_principal_in_keytab] (0x0400): No principal matching host/rhel7lab.CAD.LAB@CAD found in keytab.
(Tue May 31 12:35:05 2016) [sssd[be[CAD]]] [find_principal_in_keytab] (0x0400): No principal matching *$@CAD found in keytab.
(Tue May 31 12:35:05 2016) [sssd[be[CAD]]] [find_principal_in_keytab] (0x0400): No principal matching host/*@CAD found in keytab.
(Tue May 31 12:35:05 2016) [sssd[be[CAD]]] [match_principal] (0x1000): Principal matched to the sample (host/*@(null)).
(Tue May 31 12:35:05 2016) [sssd[be[CAD]]] [select_principal_from_keytab] (0x0200): Selected primary: host/rhel7lab.CAD.LAB
(Tue May 31 12:35:05 2016) [sssd[be[CAD]]] [select_principal_from_keytab] (0x0200): Selected realm: CAD.LAB

后来的条目抱怨sssd_ad没有连接到AD,但鉴于我在这里看到的内容,这并不奇怪.

所以:完成了timesync / krb5.conf / smb.conf的全新图像,现在“kinit Administrator”后跟“klist”

[root@rhel7lab]# kinit Administrator
Password for Administrator@CAD.LAB: 
[root@rhel7lab]# net ads join -k
Using short domain name -- CAD
Joined 'RHEL7LAB' to dns domain 'CAD.dev'
[root@rhel7lab]# klist
Ticket cache: FILE:/tmp/krb5cc_0
Default principal: Administrator@CAD.LAB

Valid starting       Expires              Service principal
05/31/2016 12:46:35  05/31/2016 22:46:35  krbtgt/CAD.LAB@CAD.LAB
        renew until 06/07/2016 12:46:30
05/31/2016 12:46:39  05/31/2016 22:46:35  cifs/CADDC01.CAD.LAB@CAD.LAB
        renew until 06/07/2016 12:46:30
05/31/2016 12:46:39  05/31/2016 22:46:35  ldap/cad_dc_01.cad.lab@CAD.LAB
        renew until 06/07/2016 12:46:30
[root@rhel7lab]#

我猜这个列表应该更长,但在路边不是很强,我不知道这是否真的是正确的,如果不是它应该是什么样的,也不知道怎么去那里.

我已经完成了这件事,并开始认为制作三明治将是一个不那么烦人的职业选择.

非常感谢你们的任何指导.如果我需要在这里添加更多内容,只需说出这个词就可以了.

谢谢,-9

解决方法

你的SSSD配置可能是罪魁祸首:

No principal matching rhel7lab.CAD.LAB@CAD found in keytab.

根据klist输出,不应该是CAD.LAB@CAD.LAB吗?

#p#副标题#e##p#分页标题#e#

你可以尝试这个SSSD conf(注意默认后缀):

[sssd]
domains = CAD
default_domain_suffix = CAD.LAB
services = nss,pam
config_file_version = 2
cache_credentials = true
debug_level = 7

重启SSSD,看它是否有效?

关于作者: dawei

【声明】:石家庄站长网内容转载自互联网,其相关言论仅代表作者个人观点绝非权威,不代表本站立场。如您发现内容存在版权问题,请提交相关链接至邮箱:bqsm@foxmail.com,我们将及时予以处理。

为您推荐