web-dev-qa-db-ja.com

RHEL7での複数ドメインのrealmd / sssd構成?

ドキュメント [〜#〜] here [〜#〜] を使用して、ActiveDirectoryログイン統合をサポートするようにRHEL7インスタンスを構成しました。これは、「realm」コマンドを使用して「sssd」サービスを構成し、AD統合を可能にすることを説明しています。

次のコマンドを使用して、sssdを介してrealmdを構成しました。

realm join usw.example.com -U myusername
realm deny --all
realm permit --groups "usw.example.com\\Linux Admins"

次に、「uswuser」が「[email protected]」ADグループにあると想定して、「USW\Linux Admins」でボックスにログインできます。 RHEL7ボックスも(もちろん)ADのコンピューターアカウントとして表示されます。

また、「use.example.com」(注US[〜#〜] e [〜#〜]ではなく)でユーザーを許可したいと思います。 US[〜#〜] w [〜#〜])このボックスへのドメインアクセス:

[root@oel7template ~]# realm permit "[email protected]" --verbose
 ! Invalid login argument '[email protected]' does not match the login format.
realm: Couldn't change permitted logins: Invalid login argument '[email protected]' does not match the login format.

use.example.com\\useuser」などの他のバリエーションも試しました。 RHEL7サーバーがUSE.EXAMPLE.COMドメインに加えてUSW.EXAMPLE.COMドメインにも参加していないため、このコマンドは失敗すると思います。 「realm join' for use.wlgore.com」を実行できますが、2つの異なるコンピューターアカウントが作成されるため、望ましくありません。

従来のWindowsサーバーと同じように機能するようにLinux認証を構成することは可能ですか?つまり、サーバーは1つのサブドメインに1つのコンピューターアカウントを持っていますが、他のドメインに対して認証することができます。たとえば、このRHEL7サーバーを「usw.example.com」に参加させますが、「use.example.com\useuser」へのアクセスも許可しますか?

このアーキテクチャで他の問題が発生した場合はお知らせください。私が見逃した根本的な何かがあるかもしれません。

2
Caesar Kabalan

これは、次の行を/etc/sssd/sssd.confに追加することで解決しました。

subdomain_enumerate = all

マニュアルページ(man sssd.conf)を完全に読むべきだったと思います。

1
Caesar Kabalan

Subdomain_enumerateがそのトリックを実行した場合、私は非常に驚きます。このオプションは、サブドメインユーザーを表示する「getentpasswd」にのみ影響します。

できることは、sssd.confファイルを開き、ユーザーをsimple_allow_usersまたはsimple_allow_groupsリストに手動で追加することです。問題は、realmdがサブドメインユーザーを許可するためのFQDN表記をサポートしていないことです。

0
jhrozek