Конфигурация ssh для запуска сеанса с экземпляром облачных вычислений Google

Отмените все изменения и удалите учетную запись компьютера из AD. Удалите пакет winbind.

Установите подходящий набор пакетов. В системах на основе Debian -вы можете использовать apt-get install samba smbclient sssd realmd dnsutils policykit-1 packagekit sssd-tools sssd libnss-sss libpam-sss adcli.

Не беспокойтесь, если sssdне запускается. Его необходимо настроить с помощью команды realm, к которой мы вскоре обратимся.

Убедитесь, что ваша локальная система на базе Linux -имеет свой контроллер домена на своем DNS-сервере. Не добавляйте дополнительный DNS-сервер, если он не является частью вашей среды Active Directory. Если вы просто отредактируете /etc/resolv.confи проигнорируете предупреждение «не редактировать этот файл», ваши изменения, вероятно, будут перезаписаны. На этом этапе ваша система не сможет никого аутентифицировать и может даже в конечном итоге выйти из домена. (В этот момент пользователи, как правило, недовольны.)

Убедитесь, что ваше местное время совпадает со временем в Active Directory, так как Kerberos не будет работать с расхождением более 5 минут (300 секунд ).

Для вашего локального домена contoso.comвыполните эти три команды от имени пользователя root:

domain=contoso.com          # The FQDN itself. Not machine.FQDN
realm discover "$domain"    # If this fails, stop and recheck everything
realm join "$domain"        # [--user ] [--computer-ou ]

Если вам нужно указать имя учетной записи AD для realm join, сделайте это с помощью realm join --user "$domain", где представляет собой неполное sAMAccountName. Ваша собственная учетная запись AD должна работать как минимум для десяти клиентов, даже если она не является администратором домена, хотя administratorявляется полезным выбором, если вы знаете ее пароль. Параметр --computer-ouпозволяет указать начальную организационную единицу для учетной записи. Оставьте это поле пустым, если вы не знаете его правильное значение (не угадывайте ).

Исправить файл sssd.conf.ad_hostnameнеобходим для некоторых версий для устранения ошибки . Уровень вложенности группы LDAP позволяет sssdуправлять членством во вложенных группах.

sed -i "/^ad_domain /s/$/\nad_hostname = $(hostname).$domain/" /etc/sssd/sssd.conf
( echo; echo 'ldap_group_nesting_level = 5'; echo 'ldap_use_tokengroups = false' ) >>/etc/sssd/sssd.conf
service sssd restart