Отмените все изменения и удалите учетную запись компьютера из AD. Удалите пакет winbind
.
Установите подходящий набор пакетов. В системах на основе Debian -вы можете использовать apt-get install samba smbclient sssd realmd dnsutils policykit-1 packagekit sssd-tools sssd libnss-sss libpam-sss adcli
.
Не беспокойтесь, если sssd
не запускается. Его необходимо настроить с помощью команды realm
, к которой мы вскоре обратимся.
Убедитесь, что ваша локальная система на базе Linux -имеет свой контроллер домена на своем DNS-сервере. Не добавляйте дополнительный DNS-сервер, если он не является частью вашей среды Active Directory. Если вы просто отредактируете /etc/resolv.conf
и проигнорируете предупреждение «не редактировать этот файл», ваши изменения, вероятно, будут перезаписаны. На этом этапе ваша система не сможет никого аутентифицировать и может даже в конечном итоге выйти из домена. (В этот момент пользователи, как правило, недовольны.)
Убедитесь, что ваше местное время совпадает со временем в Active Directory, так как Kerberos не будет работать с расхождением более 5 минут (300 секунд ).
Для вашего локального домена contoso.com
выполните эти три команды от имени пользователя root:
domain=contoso.com # The FQDN itself. Not machine.FQDN
realm discover "$domain" # If this fails, stop and recheck everything
realm join "$domain" # [--user ] [--computer-ou ]
Если вам нужно указать имя учетной записи AD для realm join
, сделайте это с помощью realm join --user
, где
представляет собой неполное sAMAccountName
. Ваша собственная учетная запись AD должна работать как минимум для десяти клиентов, даже если она не является администратором домена, хотя administrator
является полезным выбором, если вы знаете ее пароль. Параметр --computer-ou
позволяет указать начальную организационную единицу для учетной записи. Оставьте это поле пустым, если вы не знаете его правильное значение (не угадывайте ).
Исправить файл sssd.conf
.ad_hostname
необходим для некоторых версий для устранения ошибки . Уровень вложенности группы LDAP позволяет sssd
управлять членством во вложенных группах.
sed -i "/^ad_domain /s/$/\nad_hostname = $(hostname).$domain/" /etc/sssd/sssd.conf
( echo; echo 'ldap_group_nesting_level = 5'; echo 'ldap_use_tokengroups = false' ) >>/etc/sssd/sssd.conf
service sssd restart