安裝相關軟體
yum -y install krb5-workstation realmd sssd oddjob oddjob-mkhomedir adcli samba-common oddjob oddjob-mkhomedir sssd samba-common-tools
開啟相關服務
systemctl enable realm
systemctl start realm
加入網域
realm discover domainname
realm join domainname
realm 相關指令
查詢 AD 相關資訊
realm discover domain
realm list
加入網域
realm join domain --user administrator
退出網域
realm leave domain --user administrator
網域限制可登入的使用者:
realm permit --all #允許任何帳號登入
realm deny --all #拒絕任何帳號登入
realm permit user@domain #允許使用UPN格式的 user 帳號登入
realm permit domain\\User2 #允許使用SAM格式的 user2 帳號登入
realm permit --withdraw user@domain #從主機刪除可登入的帳號
realm permit -g mis #mis 群組可登入主機
查詢使用者帳號資訊
id user\\donain
getent passwd
getent group
相關設定檔案
/etc/sssd/sssd.conf
/etc/nsswitch.conf
/etc/pam.d/fingerprint-auth
/etc/pam.d/fingerprint-auth-ac
/etc/pam.d/password-auth
/etc/pam.d/password-auth-ac
/etc/pam.d/system-auth
/etc/pam.d/system-auth-ac
/etc/pam.d/smartcard-auth
/etc/pamd./smartcard-auth-ac
/etc/sssd/sssd.conf 設定檔
[sssd]
domains = ad.example
config_file_version = 2
services = nss, pam
[domain/tw.example]
ad_domain = ad.example
krb5_realm = AD.EXAMPLE
realmd_tags = manages-system joined-with-samba
cache_credentials = True
id_provider = ad
krb5_store_password_if_offline = True
default_shell = /bin/bash
ldap_id_mapping = True
use_fully_qualified_names = False #登入時,不需輸入網域
fallback_homedir = /home/%d/%u #自動建立的 home 目錄不會加上 @DomainName
enumerate = True #可 使用 getent 查詢帳號資訊
access_provider = ad
相關指令