Tento příspěvek popisuje přístup ke konfiguraci sssd za účelem interakce s více doménami Active Directory umístěnými v různých doménových strukturách. Tato metoda zahrnuje změnu /etc/krb5.conf a /etc/sssd/sssd.conf soubory.
1. Připojte se k první doméně (domain1.com) z první doménové struktury.
# realm join --verbose domain1.com -U [email protected]
2. Upravte /etc/krb5.conf a přidejte informace o sekundární doméně (domain2.com) do sekce [domain_realm].
# vi /etc/krb5.conf [domain_realm] # .example.com = EXAMPLE1.COM [Original entries] # example.com = EXAMPLE1.COM [domain_realm] .domain1.com = DOMAIN1.COM domain1.com = DOMAIN1.COM [New entries] .domain2.com = DOMAIN2.COM domain2.com = DOMAIN2.COM
3. Provedením následujícího příkazu připojte Oracle Linux k sekundární doméně.
# adcli -vvv join --host-keytab=/etc/krb5.keytab.domain2.com domain2.com -U [email protected]Poznámka :Aby byly tyto operace úspěšné, uživatel LinuxAD by měl mít administrátorská oprávnění.
4. Upravte /etc/sssd/sssd.conf soubor a proveďte následující změnu:
# vi /etc/sssd/sssd.conf [sssd] domains =domain1.com config_file_version = 2 [Original entries] services = nss, pam [sssd] domains = domain1.com, domain2.com <---- [New entries] config_file_version = 2 services = nss, pam, ssh
5. Přidejte „dyndns_update =false " vstup do níže uvedené sekce:
[domain/domain2.com] ......... ........ krb5_keytab = /etc/krb5.keytab.domain2.com ldap_krb5_keytab = /etc/krb5.keytab.domain2.com debug_level = 9 dyndns_update = false <-----
6. Přidejte novou položku sekundárního řadiče domény s odpovídající IP@
# vi /etc/hosts IP@ domain2.com <-----
7. Restartujte službu sssd:
# systemctl restart sssd
Nyní by příkaz „realm list“ měl vypsat informace o doméně1.com a doméně2.com:
# realm list domain1.com type: kerberos realm-name: DOMAI1.COM domain-name: domain1.com configured: kerberos-member server-software: active-directory client-software: sssd required-package: oddjob required-package: oddjob-mkhomedir required-package: sssd required-package: adcli required-package: samba-common-tools login-formats: %U login-policy: allow-realm-logins domain2.com type: kerberos realm-name: DOMAIN2.COM domain-name: domain2.com configured: kerberos-member server-software: active-directory client-software: sssd required-package: oddjob required-package: oddjob-mkhomedir required-package: sssd required-package: adcli required-package: samba-common-tools login-formats: %[email protected] login-policy: allow-realm-logins