这里有很多设置,所以请耐心等待.
首先,我们的目标是让所有Linux和Unix系统都针对AD进行身份验证.数百个系统不是可选的;用户帐户管理早已成为一个问题.
我们有几个AD实例:一个是“管理AD”(“MAD”),其中所有系统管理员帐户都应该存在. MAD不信任其他域名.所有其他域(“CAD”,“FAD”,“BAD”)都信任MAD.大多数系统将与CAD,FAD或BAD相关联.只有内部系统才会与MAD相关联.
主要平台是RHEL,我有5,6和7的混合物.5不会很快消失,尽管在不到一年的时间里它不再支持RH,我仍然需要得到人口5与AD集成.任何解决方案都需要在5,6和7之间工作,因为我们不希望支持多种方式.
我的主要选择(至少是我正在研究的选项)是Winbind和SSSD.鉴于两者之间的选择,我更喜欢SSSD,因为Winbind“很老”.还有一个要求是“groups”和“id”从AD产生信息,因为我们打算使用openssh的“AllowGroups”功能来限制登录到特定的AD组.
我已经按照每一本手册,每一个方法,每一个指南,当它归结为它时,总会有一件似乎没有用的文件阻止我.
一般来说,我对unix / linux相当强大,但我对AD,Kerberos或LDAP并不了解.
出于实验目的,我开始重新安装RHEL7关闭ISO(带有一些基本配置的kickstart),在KS中没有设置认证位.
第1步:同步时间.完成.
第2步:安装/激活oddjob.完成.
步骤3:确保目标系统有正向和反向DNS条目.完成.手动到目前为止,我不能依赖后面的步骤来做到正确.我会应付.
第4步:配置Kerberos. santized版本的/etc/krb5.conf:
includedir /var/lib/sss/pubconf/krb5.include.d/
[logging]
default = FILE:/var/log/krb5libs.log
kdc = FILE:/var/log/krb5kdc.log
admin_server = FILE:/var/log/kadmind.log
[libdefaults]
default_realm = CAD.LAB
dns_lookup_realm = true
dns_lookup_kdc = true
ticket_lifetime = 24h
renew_lifetime = 7d
forwardable = true
[realms]
CAD.LAB = {
kdc = cad_dc_01.cad.lab
}
[domain_realm]
.cad.lab = CAD.LAB
cad.lab = CAD.LAB
第5步:设置samba.conf就足够了SSSD. /etc/samba/smb.conf [globals]部分,已清理:
[global] workgroup = CAD client signing = yes client use spnego = yes kerberos method = secrets and keytab log file = /var/log/samba/%m.log log level = 0 password server = cad_dc_01.cad.lab realm = CAD.LAB security = ads
第6步:将系统加入CAD. “kinit Administrator”后跟“net ads join -k”.工作没有任何问题.
第7步:配置SSSD.清理/etc/sss/sssd.conf:
[sssd] domains = CAD services = nss,pam config_file_version = 2 cache_credentials = true debug_level = 7 [domain/CAD] enumerate = true # I know enumerate will cause problems later,I'm only turning it on for lab debug_level = 7 id_provider = ad ad_server = cad_dc_01.cad.lab auth_provider = ad chpass_provider = ad access_provider = ad default_shell = /bin/bash fallback_homedir = /home/%u [nss] debug_level = 7 [pam] debug_level = 7
接下来是“systemctl start sssd”.这似乎有效,但没有AD登录工作.
浏览/var/log/sssd/sssd_CAD.log,我发现一些东西可以让我知道哪些事情搞砸了,但我没有成功找到修复它们的方法:我读过的每一个指南给出一系列步骤并假设每个步骤都有效.当其中一个步骤不起作用时,我发现什么都没有找到帮助我弄清楚出了什么问题.
除非有人问,否则我不会发布整个sssd_CAD.log,但这里是第一个出错的指标.
(Tue May 31 12:35:05 2016) [sssd[be[CAD]]] [ad_set_sdap_options] (0x0100): Option krb5_realm set to CAD (Tue May 31 12:35:05 2016) [sssd[be[CAD]]] [sdap_set_sasl_options] (0x0100): Will look for rhel7lab.CAD.LAB@CAD in default keytab (Tue May 31 12:35:05 2016) [sssd[be[CAD]]] [select_principal_from_keytab] (0x0200): trying to select the most appropriate principal from keytab (Tue May 31 12:35:05 2016) [sssd[be[CAD]]] [find_principal_in_keytab] (0x0400): No principal matching rhel7lab.CAD.LAB@CAD found in keytab. (Tue May 31 12:35:05 2016) [sssd[be[CAD]]] [find_principal_in_keytab] (0x0400): No principal matching rhel7lab$@CAD found in keytab. (Tue May 31 12:35:05 2016) [sssd[be[CAD]]] [find_principal_in_keytab] (0x0400): No principal matching host/rhel7lab.CAD.LAB@CAD found in keytab. (Tue May 31 12:35:05 2016) [sssd[be[CAD]]] [find_principal_in_keytab] (0x0400): No principal matching *$@CAD found in keytab. (Tue May 31 12:35:05 2016) [sssd[be[CAD]]] [find_principal_in_keytab] (0x0400): No principal matching host/*@CAD found in keytab. (Tue May 31 12:35:05 2016) [sssd[be[CAD]]] [match_principal] (0x1000): Principal matched to the sample (host/*@(null)). (Tue May 31 12:35:05 2016) [sssd[be[CAD]]] [select_principal_from_keytab] (0x0200): Selected primary: host/rhel7lab.CAD.LAB (Tue May 31 12:35:05 2016) [sssd[be[CAD]]] [select_principal_from_keytab] (0x0200): Selected realm: CAD.LAB
后来的条目抱怨sssd_ad没有连接到AD,但鉴于我在这里看到的内容,这并不奇怪.
所以:完成了timesync / krb5.conf / smb.conf的全新图像,现在“kinit Administrator”后跟“klist”
[root@rhel7lab]# kinit Administrator
Password for Administrator@CAD.LAB:
[root@rhel7lab]# net ads join -k
Using short domain name -- CAD
Joined 'RHEL7LAB' to dns domain 'CAD.dev'
[root@rhel7lab]# klist
Ticket cache: FILE:/tmp/krb5cc_0
Default principal: Administrator@CAD.LAB
Valid starting Expires Service principal
05/31/2016 12:46:35 05/31/2016 22:46:35 krbtgt/CAD.LAB@CAD.LAB
renew until 06/07/2016 12:46:30
05/31/2016 12:46:39 05/31/2016 22:46:35 cifs/CADDC01.CAD.LAB@CAD.LAB
renew until 06/07/2016 12:46:30
05/31/2016 12:46:39 05/31/2016 22:46:35 ldap/cad_dc_01.cad.lab@CAD.LAB
renew until 06/07/2016 12:46:30
[root@rhel7lab]#
我猜这个列表应该更长,但在路边不是很强,我不知道这是否真的是正确的,如果不是它应该是什么样的,也不知道怎么去那里.
我已经完成了这件事,并开始认为制作三明治将是一个不那么烦人的职业选择.
非常感谢你们的任何指导.如果我需要在这里添加更多内容,只需说出这个词就可以了.
谢谢,-9
解决方法
No principal matching rhel7lab.CAD.LAB@CAD found in keytab.
根据klist输出,不应该是CAD.LAB@CAD.LAB吗?
你可以尝试这个SSSD conf(注意默认后缀):
[sssd] domains = CAD default_domain_suffix = CAD.LAB services = nss,pam config_file_version = 2 cache_credentials = true debug_level = 7
重启SSSD,看它是否有效?
