随笔- 42 文章- 66 评论- 0 阅读- 89689

linux之SSSD

来自ubuntu官网，比网上杂七杂八互抄的来的好。链接https://ubuntu.com/server/docs/service-sssd或者前往SSSD开发者的官网https://sssd.io/docs/introduction.html查看

SSSD

SSSD代表SystemSecurityServicesDaemon，它实际上是一组守护进程，用于处理来自各种网络源的身份验证、授权以及用户和组信息。它的核心是支持：

SSSD提供PAM和NSS模块来将这些远程源集成到您的系统中，并允许远程用户登录并被识别为有效用户，包括组成员。为了允许断开连接的操作，SSSD还可以缓存这些信息，以便用户可以在发生网络故障或其他同类问题时继续登录。

本指南将重点介绍部署SSSD的最常见场景。

SSSD和ActiveDirectory

本节描述使用sssd通过使用sssd的“ad”提供程序来验证针对ActiveDirectory的用户登录。最后，Active Directory用户将能够使用他们的AD凭据登录到主机上。还将保持小组成员资格。

先决条件、假设和要求

本指南不解释Active Directory、它是如何工作的、如何设置ActiveDirectory或如何维护它。
本指南假设已经配置了工作ActiveDirectory域，并且您可以访问凭据将计算机连接到该域。
域控制器充当域的权威DNS服务器。
域控制器是主要的dns解析器(请使用systemd-resolve --status)
系统时间是正确的，并且是同步的，通过这样的服务来维护编年史或NTP
本例中使用的域是ad1.example.com .

软件安装

安装下列软件包：

sudo apt install sssd-ad sssd-tools realmd adcli

加入域

我们将使用realm命令，从realmd包，以加入域并创建sssd配置。

让我们验证通过DNS可以发现域：

$ sudo realm -v discover ad1.example.com
 * Resolving: _ldap._tcp.ad1.example.com
 * Performing LDAP DSE lookup on: 10.51.0.5
 * Successfully discovered: ad1.example.com
ad1.example.com
  type: kerberos
  realm-name: AD1.EXAMPLE.COM
  domain-name: ad1.example.com
  configured: no
  server-software: active-directory
  client-software: sssd
  required-package: sssd-tools
  required-package: sssd
  required-package: libnss-sss
  required-package: libpam-sss
  required-package: adcli
  required-package: samba-common-bin

这将执行几个检查，并确定与sssd一起使用的最佳软件堆栈。Sssd可以通过包装袋，但我们以前已经安装过了。

现在让我们加入域：

$ sudo realm join ad1.example.com
Password for Administrator:

那是相当平淡无奇的。如果您想看看它在做什么，请通过-v备选方案：

$ sudo realm join -v ad1.example.com
 * Resolving: _ldap._tcp.ad1.example.com
 * Performing LDAP DSE lookup on: 10.51.0.5
 * Successfully discovered: ad1.example.com
Password for Administrator: 
 * Unconditionally checking packages
 * Resolving required packages
 * LANG=C /usr/sbin/adcli join --verbose --domain ad1.example.com --domain-realm AD1.EXAMPLE.COM --domain-controller 10.51.0.5 --login-type user --login-user Administrator --stdin-password
 * Using domain name: ad1.example.com
 * Calculated computer account name from fqdn: AD-CLIENT
 * Using domain realm: ad1.example.com
 * Sending NetLogon ping to domain controller: 10.51.0.5
 * Received NetLogon info from: SERVER1.ad1.example.com
 * Wrote out krb5.conf snippet to /var/cache/realmd/adcli-krb5-hUfTUg/krb5.d/adcli-krb5-conf-hv2kzi
 * Authenticated as user: Administrator@AD1.EXAMPLE.COM
 * Looked up short domain name: AD1
 * Looked up domain SID: S-1-5-21-2660147319-831819607-3409034899
 * Using fully qualified name: ad-client.ad1.example.com
 * Using domain name: ad1.example.com
 * Using computer account name: AD-CLIENT
 * Using domain realm: ad1.example.com
 * Calculated computer account name from fqdn: AD-CLIENT
 * Generated 120 character computer password
 * Using keytab: FILE:/etc/krb5.keytab
 * Found computer account for AD-CLIENT$ at: CN=AD-CLIENT,CN=Computers,DC=ad1,DC=example,DC=com
 * Sending NetLogon ping to domain controller: 10.51.0.5
 * Received NetLogon info from: SERVER1.ad1.example.com
 * Set computer password
 * Retrieved kvno '3' for computer account in directory: CN=AD-CLIENT,CN=Computers,DC=ad1,DC=example,DC=com
 * Checking RestrictedKrbHost/ad-client.ad1.example.com
 *    Added RestrictedKrbHost/ad-client.ad1.example.com
 * Checking RestrictedKrbHost/AD-CLIENT
 *    Added RestrictedKrbHost/AD-CLIENT
 * Checking host/ad-client.ad1.example.com
 *    Added host/ad-client.ad1.example.com
 * Checking host/AD-CLIENT
 *    Added host/AD-CLIENT
 * Discovered which keytab salt to use
 * Added the entries to the keytab: AD-CLIENT$@AD1.EXAMPLE.COM: FILE:/etc/krb5.keytab
 * Added the entries to the keytab: host/AD-CLIENT@AD1.EXAMPLE.COM: FILE:/etc/krb5.keytab
 * Added the entries to the keytab: host/ad-client.ad1.example.com@AD1.EXAMPLE.COM: FILE:/etc/krb5.keytab
 * Added the entries to the keytab: RestrictedKrbHost/AD-CLIENT@AD1.EXAMPLE.COM: FILE:/etc/krb5.keytab
 * Added the entries to the keytab: RestrictedKrbHost/ad-client.ad1.example.com@AD1.EXAMPLE.COM: FILE:/etc/krb5.keytab
 * /usr/sbin/update-rc.d sssd enable
 * /usr/sbin/service sssd restart
 * Successfully enrolled machine in realm

默认情况下，境界将使用管理员请求连接的域帐户。如果您需要使用另一个帐户，请将其传递给工具。-U选择。

另一种常用的加入域的方法是使用OTP，或一次密码、令牌。为此，请使用--one-time-password选择。

SSSD配置

这个境界工具已经负责创建sssd配置，添加PAM和NSS模块，并启动必要的服务。

让我们看看/etc/sssd/sssd.conf:

[sssd]
domains = ad1.example.com
config_file_version = 2
services = nss, pam

[domain/ad1.example.com]
default_shell = /bin/bash
krb5_store_password_if_offline = True
cache_credentials = True
krb5_realm = AD1.EXAMPLE.COM
realmd_tags = manages-system joined-with-adcli 
id_provider = ad
fallback_homedir = /home/%u@%d
ad_domain = ad1.example.com
use_fully_qualified_names = True
ldap_id_mapping = True
access_provider = ad

注

需要记住的是，该文件必须具有权限。0600和所有权根：根否则SSD就不会启动了！

让我们强调一下这个配置中的一些内容：

缓存凭证：这允许在无法访问AD服务器时登录。
主目录：默认情况下/home/<user>@<domain>。例如，AD用户约翰的主目录/home/john@ad1.example.com
使用完全限定的名称*用户将采用表格用户@域，而不仅仅是用户。只有当您确定没有其他域将通过几种可能的信任关系中的一种加入AD林时，才应更改此值。

自动主目录创建

这是什么realm工具没有为我们做的是设置pam_mkhomedir，以便网络用户在登录时可以获得主目录。其余的步骤可以通过运行以下命令来完成：

sudo pam-auth-update --enable mkhomedir

更多内容访问https://ubuntu.com/server/docs/service-sssd

posted @ 2021-12-15 21:52 头发重要阅读(6861) 评论(0) 编辑收藏举报

刷新页面返回顶部

登录后才能查看或发表评论，立即登录或者逛逛博客园首页

公告

昵称：头发重要
园龄： 6年4个月
粉丝： 11
关注： 3

+加关注

2025年3月

日

一

二

三

四

五

六

滴水成江

千里之行，重在坚持

linux之SSSD

来自ubuntu官网，比网上杂七杂八互抄的来的好。链接https://ubuntu.com/server/docs/service-sssd或者前往SSSD开发者的官网https://sssd.io/docs/introduction.html查看

SSSD

SSSD和ActiveDirectory

先决条件、假设和要求

软件安装

加入域

SSSD配置

自动主目录创建

公告

搜索

常用链接

随笔分类

随笔档案

文章分类

阅读排行榜

推荐排行榜