SSSD Centos 7 AD-Bindung - nur einige Benutzer können sich anmelden

2

Ich habe versucht, den Prozess der Bindung einer Centos 7-Installation an eine Windows-Domäne festzunageln, habe aber Probleme. Ich habe es in der Vergangenheit mit ein paar Boxen erfolgreich geschafft, aber jetzt versuche ich, den Prozess zu dokumentieren und es macht sehr seltsame Dinge.

Ich habe es geschafft, die Bindung mit dem folgenden Prozess durchzuführen:

  • Installieren und konfigurieren Sie ntp
  • Installieren Sie die Pakete: realmd, oddjob, oddjob-mkhomedir, sssd, samba-common, krb5-workstation, adcli
  • Erstellen Sie ein Kerberos-Ticket: kinit [email protected]
  • Reich beitreten
  • Ändern Sie die SSD-Konfiguration
[sssd]
domains = meine.domain
config_file_version = 2
services = nss, pam

[domain / my.domain]
ad_domain = meine.domain
krb5_realm = MY.DOMAIN
realmd_tags = verwaltet das mit adcli verbundene System
cache_credentials = True
id_provider = ad
krb5_store_password_if_offline = True
default_shell = / bin / bash
ldap_id_mapping = True
use_fully_qualified_names = false
fallback_homedir = / home /% u @% d
access_provider = ad
override_homedir = / home /% u
override_shell = / bin / bash
  • Starten Sie den SSD-Dienst neu

Dies hat in der Vergangenheit funktioniert, aber aus irgendeinem Grund konnte ich mich nicht mit meinen Netzwerkanmeldeinformationen anmelden, mein Kollege konnte sich jedoch nur mit einem seiner Konten erfolgreich anmelden.

Als wir der sssd-Konfiguration das Debug hinzugefügt haben, wurde in der Protokolldatei der Fehler angezeigt:

Could not convert objectSID [MY AD SID HERE] to a UNIX ID

Es hat auch meinen tatsächlichen Kontonamen aus AD herausgesucht, damit es definitiv Informationen enthält. Wir haben die gleichen Rechte auf dem System und es macht einfach keinen Sinn.

Irgendwelche Vorschläge, was ich sonst noch versuchen könnte?

Arturski
quelle

Antworten:

1

Die Lösung bestand darin, den in ldap ldap sichtbaren ID-Kartenbereich zu erweitern. Unsere Anzeige ist sehr groß und der Standardbereich war anscheinend nicht groß genug, um alle Benutzer im Bereich abzudecken objectSID, die es sehen konnte. Meine SID lag weit über meinen Kollegen, weshalb er sich einloggen konnte, ich aber nicht.

Die Lösung bestand darin, das Folgende zum Hauptteil der SSSD.conf hinzuzufügen

ldap_idmap_default_domain_sid = SID DER DOMÄNE
ldap_idmap_range_min = 200000
ldap_idmap_range_max = 2000200000
ldap_idmap_range_size = 1000000

Ref: https://lists.fedorahosted.org/archives/list/[email protected]/thread/2YYG6LPUYWX2TUTD5SY5NNTHOTQQIJTD/

Arturski
quelle