Ubuntu 20.04以降、SSSDとRealmdを使用してこれらのサーバーをActive Directoryドメインの1つに接続します。これは(ほぼ)すぐに機能します。
しかし、Ubuntu 22.04では問題が発生しました。可能な解決策がないので質問します。
私達の組織に1つのADフォレストがあります。この森には「」という木があります。example.local". このドメインには複数のサブドメインがあります。"製品の例。「、」ユーザー、例、ローカル「、」acc.example.local「。」ユーザー、例、ローカル""という名前のサブドメインがあります。dev.users.example.local「このドメインにはショートカット信頼があります。」製品の例。「(記憶することが重要です)。
サーバーがドメインに参加するときdev.users.example.local「ユーザー(フォレスト内のすべてのドメイン)がサーバーにログインできる必要があります。
これはUbuntu 20.04(SSSDバージョン2.2.3を使用)で期待どおりに機能します。 Ubuntu 22.04では、サブスクライブされたドメイン(dev.users.example.local)とショートカット信頼のあるドメインのユーザーのみが検索可能で、サーバーにログインできます。
sssctlを使用してこの問題をデバッグしてみましょう。
走るsssctl domain-list
結果を返す:
- dev.users.example.local
- 製品の例。
予想される結果:
- dev.users.example.local
- ユーザー、例、ローカル
- example.local
- 製品の例。
- acc.example.local
SSSDバージョン:
- Ubuntu 22.04:2.6.3
- Ubuntu 20.04:2.2.3
SSSD設定は次のとおりです(Ubuntu 20.04で期待どおりに動作します)。
[sssd]
domains = dev.users.example.local
config_file_version = 2
services = nss, pam
debug_level = 9
[domain/dev.users.example.local]
# Offline logins
# cache_credentials = true
# Providers
id_provider = ad
auth_provider = ad
access_provider = simple
# Uncomment if you want to use POSIX UIDs and GIDs set on the AD side
# ldap_id_mapping = False
# Uncomment if the trusted domains are not reachable
# ad_enabled_domains = ad.example.com
# Set default shell and override AD Home directory
default_shell = /bin/bash
override_homedir = /home/%d/%u
# Comment out if you prefer to use shortnames.
use_fully_qualified_names = True
# AD Specific settings
# ad_use_ldaps = True
debug_level = 9
[nss]
debug_level = 9
[pam]
debug_level = 9
PAM構成:/etc/pam.d/sshd
# PAM configuration for the Secure Shell service
# Standard Un*x authentication.
@include common-auth
# Disallow non-root logins when /etc/nologin exists.
account required pam_nologin.so
# Uncomment and edit /etc/security/access.conf if you need to set complex
# access limits that are hard to express in sshd_config.
# account required pam_access.so
# Standard Un*x authorization.
@include common-account
# SELinux needs to be the first session rule. This ensures that any
# lingering context has been cleared. Without this it is possible that a
# module could execute code in the wrong domain.
session [success=ok ignore=ignore module_unknown=ignore default=bad] pam_selinux.so close
# Set the loginuid process attribute.
session required pam_loginuid.so
# Create a new session keyring.
session optional pam_keyinit.so force revoke
# Standard Un*x session setup and teardown.
@include common-session
# Print the message of the day upon successful login.
# This includes a dynamically generated part from /run/motd.dynamic
# and a static (admin-editable) part from /etc/motd.
session optional pam_motd.so motd=/run/motd.dynamic
session optional pam_motd.so noupdate
# add to the end (create Home Dir automatically when initial login)
session optional pam_mkhomedir.so skel=/etc/skel umask=077
# Print the status of the user's mailbox upon successful login.
session optional pam_mail.so standard noenv # [1]
# Set up user limits from /etc/security/limits.conf.
session required pam_limits.so
# Read environment variables from /etc/environment and
# /etc/security/pam_env.conf.
session required pam_env.so # [1]
# In Debian 4.0 (etch), locale-related environment variables were moved to
# /etc/default/locale, so read that as well.
session required pam_env.so user_readenv=1 envfile=/etc/default/locale
# SELinux needs to intervene at login time to ensure that the process starts
# in the proper default security context. Only sessions which are intended
# to run in the user's context should be run after this.
session [success=ok ignore=ignore module_unknown=ignore default=bad] pam_selinux.so open
# Standard Un*x password updating.
@include common-password
realmdを使用すると、特定のADグループがサーバーにログインできます。
Ubuntu 22.04に新しい(および以前の2.2.3)SSSDをインストールしようとしましたが、インストールに失敗しました。
Active Directoryを変更せずにこれを達成できますか?この構成では、私たちは何が間違っていましたか?