系统安全服务守护进程 (SSSD) 身份验证方法是支持在即时克隆 Linux 虚拟机 (VM) 上执行脱机域加入的解决方案之一。

系统安全服务守护进程 (SSSD) 身份验证支持运行以下 Linux 分发包的即时克隆桌面脱机域加入 Active Directory。

  • Ubuntu 18.04/20.04/22.04
  • RHEL 7.x/8.x/9.x
  • CentOS 7.x
  • SLED/SLES 12.x/15.x

可遵循以下过程中所述的指导原则,使用 SSSD 身份验证对即时克隆 Linux 虚拟机执行脱机域加入,以将其加入到 Active Directory (AD)。

过程

  1. 在最佳配置映像 Linux 虚拟机上,使用 SSSD 身份验证执行域加入。确保最佳配置映像使用与即时克隆相同的域。
    有关详细的域加入说明,请参阅适用于您的 Linux 分发包的文档。
    • (Ubuntu) 转到 https://ubuntu.com/server/docs,然后搜索与“SSSD 和 Active Directory”相关的信息。
    • (RHEL/CentOS) 转到 Red Hat 客户门户,然后找到发行版本的文档页面。例如,您可以在 https://access.redhat.com/documentation/en-us/red_hat_enterprise_linux/ 中找到英文文档。
      • 对于 RHEL 9.x,找到“在 RHEL 中配置身份验证和授权”文档,并搜索与 SSSD 相关的信息。
      • 对于 RHEL 8.x,找到“直接将 RHEL 系统与 Windows Active Directory 集成”文档,并搜索与“使用 SSSD 将 RHEL 系统直接连接到 AD”相关的信息。
      • 对于 RHEL/CentOS 7.x,请找到《Windows 集成指南》,然后搜索与“发现和加入身份域”相关的信息。
    • (SLED/SLES) 转到位于 https://documentation.suse.com/ 的 SUSE 文档门户,并搜索与“集成 Linux 和 Active Directory 环境”相关的信息。
  2. 安装 krb5 支持库。
    • (Ubuntu) 运行以下命令。
      sudo apt-get install krb5-user
    • (RHEL/CentOS) 运行以下命令。
      sudo yum install krb5-workstation
    • (SLED/SLES) 运行以下命令序列。
      sudo zypper install krb5-client
sudo ln -s /usr/lib/mit/bin/ktutil /usr/bin/ktutil
sudo ln -s /usr/lib/mit/bin/kvno /usr/bin/kvno
  3. 按照在 Linux 虚拟机上安装 Horizon Agent中所述安装 Horizon Agent for Linux。
  4. 使用以下示例作为参考,修改 /etc/sssd/sssd.conf 配置文件。
    将示例中的占位符值替换为特定于您的配置的信息:
    • mydomain.com 替换为 AD 域的 DNS 名称。
    • MYDOMAIN.COM 替换为 AD 域的 DNS 名称,全部为大写字母
    [sssd]
domains = mydomain.com
config_file_version = 2
services = nss, pam
 
[domain/mydomain.com]
ad_domain = mydomain.com
krb5_realm = MYDOMAIN.COM
realmd_tags = manages-system joined-with-adcli
cache_credentials = True
id_provider = ad
krb5_store_password_if_offline = True
default_shell = /bin/bash
ldap_id_mapping = True
use_fully_qualified_names = False        #Use short name for user
fallback_homedir = /home/%u@%d
access_provider = ad
ad_gpo_map_interactive = +gdm-vmwcred    #Add this line for SSO
ad_gpo_access_control = permissive       #Deactivate GPO access control in the cloned VM
  5. (RHEL/CentOS 7.x、Ubuntu 18.04, SLED/SLES 12.x)将 /etc/krb5.conf 配置文件修改为仅使用 rc4-hmac 加密算法。
    使用 SSSD 身份验证将即时克隆 RHEL/CentOS 7.x、Ubuntu 18.04 或 SLED/SLES 12.x 虚拟机加入域时,这是唯一支持的加密算法。 
    [libdefaults]
 dns_lookup_realm = false
 ticket_lifetime = 24h
 renew_lifetime = 7d
 forwardable = true
 rdns = false
 pkinit_anchors = FILE:/etc/pki/tls/certs/ca-bundle.crt
 default_realm = MYDOMAIN.COM
 default_ccache_name = KEYRING:persistent:%{uid}
 default_tkt_enctypes = rc4-hmac       #Add this line to use rc4-hmac encryption only
 default_tgs_enctypes = rc4-hmac       #Add this line to use rc4-hmac encryption only
  6. 要确保 Horizon Agent 识别使用 SSSD 身份验证加入域的 Linux 虚拟机,请将以下行添加到 /etc/vmware/viewagent-custom.conf 配置文件中。 
    OfflineJoinDomain=sssd
  7. 重新启动最佳配置映像 Linux 虚拟机,并在 vCenter Server 中为虚拟机生成快照。