系统安全服务守护进程 (SSSD) 身份验证方法是支持在即时克隆 Linux 虚拟机 (VM) 上执行脱机域加入的解决方案之一。
系统安全服务守护进程 (SSSD) 身份验证支持运行以下 Linux 分发包的即时克隆桌面脱机域加入 Active Directory。
- Ubuntu 20.04/22.04
- Debian 10.x/11.x
- RHEL 7.9/8.x/9.x
- Rocky Linux 8.x/9.x
- CentOS 7.9
- SLED/SLES 15.x
可遵循以下过程中所述的指导原则,使用 SSSD 身份验证对即时克隆 Linux 虚拟机执行脱机域加入,以将其加入到 Active Directory (AD)。
过程
- 在最佳配置映像 Linux 虚拟机上,使用 SSSD 身份验证执行域加入。确保最佳配置映像使用与即时克隆相同的域。
有关详细的域加入说明,请参阅适用于您的 Linux 分发包的文档。
- 安装 krb5 支持库。
- (Ubuntu) 运行以下命令。
sudo apt-get install krb5-user
- (RHEL/CentOS 和 Rocky Linux)运行以下命令。
sudo yum install krb5-workstation
- (SLED/SLES) 运行以下命令序列。
sudo zypper install krb5-client
sudo ln -s /usr/lib/mit/bin/ktutil /usr/bin/ktutil
sudo ln -s /usr/lib/mit/bin/kvno /usr/bin/kvno
- 按照在 Linux 虚拟机上安装 Horizon Agent中所述安装 Horizon Agent for Linux。
- 使用以下示例作为参考,修改 /etc/sssd/sssd.conf 配置文件。
将示例中的占位符值替换为特定于您的配置的信息:
- 将 mydomain.com 替换为 AD 域的 DNS 名称。
- 将 MYDOMAIN.COM 替换为 AD 域的 DNS 名称,全部为大写字母
[sssd]
domains = mydomain.com
config_file_version = 2
services = nss, pam
[domain/mydomain.com]
ad_domain = mydomain.com
krb5_realm = MYDOMAIN.COM
realmd_tags = manages-system joined-with-adcli
cache_credentials = True
id_provider = ad
krb5_store_password_if_offline = True
default_shell = /bin/bash
ldap_id_mapping = True
use_fully_qualified_names = False #Use short name for user
fallback_homedir = /home/%u@%d
access_provider = ad
ad_gpo_map_interactive = +gdm-vmwcred #Add this line for SSO
ad_gpo_access_control = permissive #Deactivate GPO access control in the cloned VM
- (RHEL/CentOS 7.x) 将 /etc/krb5.conf 配置文件修改为仅使用 rc4-hmac 加密算法。
使用 SSSD 身份验证将即时克隆 RHEL/CentOS 7.x 虚拟机加入域时,这是唯一支持的加密算法。
[libdefaults]
dns_lookup_realm = false
ticket_lifetime = 24h
renew_lifetime = 7d
forwardable = true
rdns = false
pkinit_anchors = FILE:/etc/pki/tls/certs/ca-bundle.crt
default_realm = MYDOMAIN.COM
default_ccache_name = KEYRING:persistent:%{uid}
default_tkt_enctypes = rc4-hmac #Add this line to use rc4-hmac encryption only
default_tgs_enctypes = rc4-hmac #Add this line to use rc4-hmac encryption only
- 要确保 Horizon Agent 识别使用 SSSD 身份验证加入域的 Linux 虚拟机,请将以下行添加到 /etc/vmware/viewagent-custom.conf 配置文件中。
- 重新启动最佳配置映像 Linux 虚拟机,并在 vCenter Server 中为虚拟机生成快照。