realmd +sssdを使用してUbuntu16.04をWindowsドメイン(アクティブディレクトリ)に参加させようとしています。基本的に、私はこの投稿をフォローしていましたが、これは非常にうまく機能し、サーバーに参加してADユーザーとして正常に認証できました。ただし、統合には2つの要素が欠けています。
- サーバーのホスト名をDNSに登録する
- ユーザー認証にsssd-sudoを使用する
サーバーのホスト名をDNSに登録する
前述のように、
realm join --user =dpr MYDOMAIN.INT --install =/を使用してADに正常に参加しました :
[email protected] ~ # realm list
mydomain.int
type: kerberos
realm-name: MYDOMAIN.INT
domain-name: mydomain.int
configured: kerberos-member
server-software: active-directory
client-software: sssd
required-package: sssd-tools
required-package: sssd
required-package: libnss-sss
required-package: libpam-sss
required-package: adcli
required-package: samba-common-bin
login-formats: %[email protected]
login-policy: allow-realm-logins
ただし、参加が成功したにもかかわらず、私のサーバーは、ホスト名 ip-172-28-5-174.mydomain.intを使用してドメイン内の他のマシンに認識されません。 。 dyndns_updateに言及しているこのドキュメントを見つけました sssd.confファイルで設定します。
レルムを使用しているので。 sssd設定は、joinコマンドを発行することで自動的に生成されます。生成された構成ファイルは次のようになります:
[sssd]
domains = mydomain.int
config_file_version = 2
services = nss, pam
[domain/mydomain.int]
ad_domain = mydomain.int
krb5_realm = MYDOMAIN.INT
realmd_tags = manages-system joined-with-adcli
cache_credentials = True
id_provider = ad
krb5_store_password_if_offline = True
default_shell = /bin/bash
ldap_id_mapping = True
use_fully_qualified_names = True
fallback_homedir = /home/%[email protected]%d
access_provider = ad
つまり、どういうわけか dyndns_update =Trueを追加する必要があります この生成されたファイルに。しかし、どうやって?
ユーザー認証にsssd-sudoを使用する
さらに、ADからsudo構成を読み取るようにsssdを作成したいと思います。これはsssd-sudoを使用して実現できると思いますが、 sudo を追加して、sssd.confファイルでも有効化/構成する必要があります。 sssdサービスに移動し、 sudo_provider =ldapを使用します 私のドメインのために。繰り返しになりますが、レルムでこれを行う方法を理解できません。
基本的に、生成された構成ファイルは次のようになります。
[sssd]
domains = mydomain.int
config_file_version = 2
services = nss, pam, sudo
[domain/mydomain.int]
id_provider = ad
access_provider = ad
sudo_provider = ldap
ad_domain = mydomain.int
krb5_realm = MYDOMAIN.INT
realmd_tags = manages-system joined-with-adcli
cache_credentials = True
krb5_store_password_if_offline = True
default_shell = /bin/bash
ldap_id_mapping = True
use_fully_qualified_names = True
fallback_homedir = /home/%[email protected]%d
これをどのように達成できるかについてのアイデアはありますか?
承認された回答:
ActiveDirectoryでsudoersを管理する場合 、特殊なスキーマをADにロードしてから、ADSIEditなどのツールを使用してルールを作成する必要があります。このウォークスルーは、Ubuntu14.04で機能しました。ハイライトは次のとおりです。
-
schema.ActiveDirectoryをインポートします - sudoers-ldapのマンページに従ってルールを作成します
-
etc / nsswitch.confを更新しますsssを含めるsudoers =のエントリの中 行 -
etc / sssd / sssd.confを更新します 含める:-
sudoservices =のエントリの中 行 - 空の
[sudo]セクション(設定は必要ありませんが、Redhatはこれがsudoサポートの適切な設定をトリガーすると主張しています) -
sudo_provider =adのような行 (pagure.orgのsssdドキュメントでは、sudoプロバイダーはldap、ad、およびipaに対してデフォルトで有効になっているため、これはオプションである可能性があります)
-
このプロセスを16.04(つまり、14.04と同じADルール)で繰り返すと、実際には他の問題が発生します。どうやら、これは珍しいことではありません。 16.04に含まれているsudoのバージョンにバグがある可能性があります。
- 原則として、手動で最新のものにアップグレードすると、この問題は解決します。
- 通常の
sudoパッケージ(sudo-ldapではありません )は、SSSD(sudoではなく)が必要な場合に適したパッケージです。 )LDAP接続を管理します。具体的には、sudo-ldapをインストールしますsssd_sudo.logにログが生成されませんでした 通常のsudoパッケージはしました。 -
sssd_sudoの間 は、[の2つのルールを返すことを示しています。 、@ ] sudo -l </ code> まだで応答しています申し訳ありませんが、ユーザーでsudoを実行できない可能性があります そのため、解決が必要な他の問題がある可能性があります。@ は
ただし、一般的ではないように思われる追加の問題が発生しているため、私の状況は一般的ではない可能性があります。たとえば、 realm joinの実行で問題が発生しました これは、このサーバー障害の質問の回避策を使用して解決されました。
16.04のrealmd/sssd / sudoの問題が原因でここにたどり着いた場合は、役立つ可能性のある他の報告された問題がいくつかあります(必ずしも、OPの問題に直接関連しているとは限りません)。
- IPAホストネットグループの問題(free-ipaユーザーリストの詳細)
- realmdの依存関係の解決には既知の問題があります。議論で述べたように、packagekitをインストールすると多くの人(私たちを含む)が解決します。 16.04のバージョンには別の問題がある可能性があります。
16.04のアップグレードを評価しているので、これをバックバーナーに置くことができますが、うまくいけば、私たちのレッグワークが他の人に役立つでしょう。