这里有很多设置,所以请耐心等待.
首先,我们的目标是让所有Linux和Unix系统都针对AD进行身份验证.数百个系统不是可选的;用户帐户管理早已成为一个问题.
我们有几个AD实例:一个是“管理AD”(“MAD”),其中所有系统管理员帐户都应该存在. MAD不信任其他域名.所有其他域(“CAD”,“FAD”,“BAD”)都信任MAD.大多数系统将与CAD,FAD或BAD相关联.只有内部系统才会与MAD相关联.
主要平台是RHEL,我有5,6和7的混合物.5不会很快消失,尽管在不到一年的时间里它不再支持RH,我仍然需要得到人口5与AD集成.任何解决方案都需要在5,6和7之间工作,因为我们不希望支持多种方式.
我的主要选择(至少是我正在研究的选项)是Winbind和SSSD.鉴于两者之间的选择,我更喜欢SSSD,因为Winbind“很老”.还有一个要求是“groups”和“id”从AD产生信息,因为我们打算使用openssh的“AllowGroups”功能来限制登录到特定的AD组.
我已经按照每一本手册,每一个方法,每一个指南,当它归结为它时,总会有一件似乎没有用的文件阻止我.
一般来说,我对unix / linux相当强大,但我对AD,Kerberos或LDAP并不了解.
出于实验目的,我开始重新安装RHEL7关闭ISO(带有一些基本配置的kickstart),在KS中没有设置认证位.
第1步:同步时间.完成.
第2步:安装/激活oddjob.完成.
步骤3:确保目标系统有正向和反向DNS条目.完成.手动到目前为止,我不能依赖后面的步骤来做到正确.我会应付.
第4步:配置Kerberos. santized版本的/etc/krb5.conf:
- includedir /var/lib/sss/pubconf/krb5.include.d/
- [logging]
- default = FILE:/var/log/krb5libs.log
- kdc = FILE:/var/log/krb5kdc.log
- admin_server = FILE:/var/log/kadmind.log
- [libdefaults]
- default_realm = CAD.LAB
- dns_lookup_realm = true
- dns_lookup_kdc = true
- ticket_lifetime = 24h
- renew_lifetime = 7d
- forwardable = true
- [realms]
- CAD.LAB = {
- kdc = cad_dc_01.cad.lab
- }
- [domain_realm]
- .cad.lab = CAD.LAB
- cad.lab = CAD.LAB
第5步:设置samba.conf就足够了SSSD. /etc/samba/smb.conf [globals]部分,已清理:
- [global]
- workgroup = CAD
- client signing = yes
- client use spnego = yes
- kerberos method = secrets and keytab
- log file = /var/log/samba/%m.log
- log level = 0
- password server = cad_dc_01.cad.lab
- realm = CAD.LAB
- security = ads
第6步:将系统加入CAD. “kinit Administrator”后跟“net ads join -k”.工作没有任何问题.
第7步:配置SSSD.清理/etc/sss/sssd.conf:
- [sssd]
- domains = CAD
- services = nss,pam
- config_file_version = 2
- cache_credentials = true
- debug_level = 7
- [domain/CAD]
- enumerate = true
- # I know enumerate will cause problems later,I'm only turning it on for lab
- debug_level = 7
- id_provider = ad
- ad_server = cad_dc_01.cad.lab
- auth_provider = ad
- chpass_provider = ad
- access_provider = ad
- default_shell = /bin/bash
- fallback_homedir = /home/%u
- [nss]
- debug_level = 7
- [pam]
- debug_level = 7
接下来是“systemctl start sssd”.这似乎有效,但没有AD登录工作.
浏览/var/log/sssd/sssd_CAD.log,我发现一些东西可以让我知道哪些事情搞砸了,但我没有成功找到修复它们的方法:我读过的每一个指南给出一系列步骤并假设每个步骤都有效.当其中一个步骤不起作用时,我发现什么都没有找到帮助我弄清楚出了什么问题.
除非有人问,否则我不会发布整个sssd_CAD.log,但这里是第一个出错的指标.
- (Tue May 31 12:35:05 2016) [sssd[be[CAD]]] [ad_set_sdap_options] (0x0100): Option krb5_realm set to CAD
- (Tue May 31 12:35:05 2016) [sssd[be[CAD]]] [sdap_set_sasl_options] (0x0100): Will look for rhel7lab.CAD.LAB@CAD in default keytab
- (Tue May 31 12:35:05 2016) [sssd[be[CAD]]] [select_principal_from_keytab] (0x0200): trying to select the most appropriate principal from keytab
- (Tue May 31 12:35:05 2016) [sssd[be[CAD]]] [find_principal_in_keytab] (0x0400): No principal matching rhel7lab.CAD.LAB@CAD found in keytab.
- (Tue May 31 12:35:05 2016) [sssd[be[CAD]]] [find_principal_in_keytab] (0x0400): No principal matching rhel7lab$@CAD found in keytab.
- (Tue May 31 12:35:05 2016) [sssd[be[CAD]]] [find_principal_in_keytab] (0x0400): No principal matching host/rhel7lab.CAD.LAB@CAD found in keytab.
- (Tue May 31 12:35:05 2016) [sssd[be[CAD]]] [find_principal_in_keytab] (0x0400): No principal matching *$@CAD found in keytab.
- (Tue May 31 12:35:05 2016) [sssd[be[CAD]]] [find_principal_in_keytab] (0x0400): No principal matching host/*@CAD found in keytab.
- (Tue May 31 12:35:05 2016) [sssd[be[CAD]]] [match_principal] (0x1000): Principal matched to the sample (host/*@(null)).
- (Tue May 31 12:35:05 2016) [sssd[be[CAD]]] [select_principal_from_keytab] (0x0200): Selected primary: host/rhel7lab.CAD.LAB
- (Tue May 31 12:35:05 2016) [sssd[be[CAD]]] [select_principal_from_keytab] (0x0200): Selected realm: CAD.LAB
后来的条目抱怨sssd_ad没有连接到AD,但鉴于我在这里看到的内容,这并不奇怪.
所以:完成了timesync / krb5.conf / smb.conf的全新图像,现在“kinit Administrator”后跟“klist”
- [root@rhel7lab]# kinit Administrator
- Password for Administrator@CAD.LAB:
- [root@rhel7lab]# net ads join -k
- Using short domain name -- CAD
- Joined 'RHEL7LAB' to dns domain 'CAD.dev'
- [root@rhel7lab]# klist
- Ticket cache: FILE:/tmp/krb5cc_0
- Default principal: Administrator@CAD.LAB
- Valid starting Expires Service principal
- 05/31/2016 12:46:35 05/31/2016 22:46:35 krbtgt/CAD.LAB@CAD.LAB
- renew until 06/07/2016 12:46:30
- 05/31/2016 12:46:39 05/31/2016 22:46:35 cifs/CADDC01.CAD.LAB@CAD.LAB
- renew until 06/07/2016 12:46:30
- 05/31/2016 12:46:39 05/31/2016 22:46:35 ldap/cad_dc_01.cad.lab@CAD.LAB
- renew until 06/07/2016 12:46:30
- [root@rhel7lab]#
我猜这个列表应该更长,但在路边不是很强,我不知道这是否真的是正确的,如果不是它应该是什么样的,也不知道怎么去那里.
我已经完成了这件事,并开始认为制作三明治将是一个不那么烦人的职业选择.
非常感谢你们的任何指导.如果我需要在这里添加更多内容,只需说出这个词就可以了.
谢谢,-9
解决方法
No principal matching rhel7lab.CAD.LAB@CAD found in keytab.
根据klist输出,不应该是CAD.LAB@CAD.LAB吗?
你可以尝试这个SSSD conf(注意默认后缀):
- [sssd]
- domains = CAD
- default_domain_suffix = CAD.LAB
- services = nss,pam
- config_file_version = 2
- cache_credentials = true
- debug_level = 7
重启SSSD,看它是否有效?
