背景
在有大量服务器时,每台机器单独维护用户系统已基本不可能,使用统一的认证方案即可较容易解决此问题。
统一的认证方案可以使用OpenLDAP,也可以使用windows AD。
在实际生产环境中,有较多用户已使用了windows AD,因此本文以windows AD来做统一的认证。
环境
xxx.com: windows AD上的主域名
user1: AD域xxx.com中一个普通用户
administrator: AD域xxx.com中的一个具有管理员权限的用户
操作步骤
修改DNS
修改
/etc/resolv.conf,添加一行
nameserver dns的ip内容,指向windows AD的DNS,一般就是AD服务器的IP。
注意:该文件重启后会失效。
安装软件
yum -y install realmd sssd oddjob oddjob-mkhomedir adcli samba-common samba-common-tools
加入AD域
此步执行时间较长
echo -n "password" | realm join xxx.com -U administrator
修改sssd.conf
修改sssd.conf的作用是让用户名只取@前面部分,去掉域名。如果不修改,输入user1@xxx.com即可。同时不用重启sssd服务。
vi /etc/sssd/sssd.conf
修改以下两行内容
use_fully_qualified_names = False
fallback_homedir = /home/%u
重启服务
systemctl restart sssd
查看用户信息
id user1
退出AD域
realm leave xxx.com