系统安全服务守护进程 (SSSD) 身份验证方法是支持在即时克隆 Linux 虚拟机 (VM) 上执行脱机域加入的解决方案之一。

系统安全服务守护进程 (SSSD) 身份验证支持运行以下 Linux 分发包的即时克隆桌面脱机域加入 Active Directory。

  • Ubuntu 20.04/22.04
  • Debian 10.x/11.x
  • RHEL 7.9/8.x/9.x
  • Rocky Linux 8.x/9.x
  • CentOS 7.9
  • SLED/SLES 15.x

可遵循以下过程中所述的指导原则,使用 SSSD 身份验证对即时克隆 Linux 虚拟机执行脱机域加入,以将其加入到 Active Directory (AD)。

过程

  1. 在最佳配置映像 Linux 虚拟机上,使用 SSSD 身份验证执行域加入。确保最佳配置映像使用与即时克隆相同的域。
    有关详细的域加入说明,请参阅适用于您的 Linux 分发包的文档。
    • (Ubuntu) 转到 https://ubuntu.com/server/docs,然后搜索与“SSSD 和 Active Directory”相关的信息。
    • (RHEL/CentOS) 转到 Red Hat 客户门户,然后找到发行版本的文档页面。例如,您可以在 https://access.redhat.com/documentation/en-us/red_hat_enterprise_linux/ 中找到英文文档。
      • 对于 RHEL 9.x,找到“在 RHEL 中配置身份验证和授权”文档,然后搜索与 SSSD 相关的信息。
      • 对于 RHEL 8.x,找到“直接将 RHEL 系统与 Windows Active Directory 集成”文档,然后搜索与“使用 SSSD 将 RHEL 系统直接连接到 AD”相关的信息。
      • 对于 RHEL/CentOS 7.x,找到“Windows 集成指南”,然后搜索与“发现和加入身份域”相关的信息。
    • (Rocky Linux) 转到位于 https://docs.rockylinux.org/ 的 Rocky Linux 文档门户,然后搜索与 SSSD 相关的信息。
    • (SLED/SLES) 转到位于 https://documentation.suse.com/ 的 SUSE 文档门户,然后搜索与“集成 Linux 和 Active Directory 环境”相关的信息。
  2. 安装 krb5 支持库。
    • (Ubuntu) 运行以下命令。
      sudo apt-get install krb5-user
    • (RHEL/CentOS 和 Rocky Linux)运行以下命令。
      sudo yum install krb5-workstation
    • (SLED/SLES) 运行以下命令序列。
      sudo zypper install krb5-client
      sudo ln -s /usr/lib/mit/bin/ktutil /usr/bin/ktutil
      sudo ln -s /usr/lib/mit/bin/kvno /usr/bin/kvno
  3. 按照在 Linux 虚拟机上安装 Horizon Agent中所述安装 Horizon Agent for Linux。
  4. 使用以下示例作为参考,修改 /etc/sssd/sssd.conf 配置文件。
    将示例中的占位符值替换为特定于您的配置的信息:
    • mydomain.com 替换为 AD 域的 DNS 名称。
    • MYDOMAIN.COM 替换为 AD 域的 DNS 名称,全部为大写字母
    [sssd]
    domains = mydomain.com
    config_file_version = 2
    services = nss, pam
     
    [domain/mydomain.com]
    ad_domain = mydomain.com
    krb5_realm = MYDOMAIN.COM
    realmd_tags = manages-system joined-with-adcli
    cache_credentials = True
    id_provider = ad
    krb5_store_password_if_offline = True
    default_shell = /bin/bash
    ldap_id_mapping = True
    use_fully_qualified_names = False        #Use short name for user
    fallback_homedir = /home/%u@%d
    access_provider = ad
    ad_gpo_map_interactive = +gdm-vmwcred    #Add this line for SSO
    ad_gpo_access_control = permissive       #Deactivate GPO access control in the cloned VM
  5. (RHEL/CentOS 7.x) 将 /etc/krb5.conf 配置文件修改为仅使用 rc4-hmac 加密算法。
    使用 SSSD 身份验证将即时克隆 RHEL/CentOS 7.x 虚拟机加入域时,这是唯一支持的加密算法。
    [libdefaults]
     dns_lookup_realm = false
     ticket_lifetime = 24h
     renew_lifetime = 7d
     forwardable = true
     rdns = false
     pkinit_anchors = FILE:/etc/pki/tls/certs/ca-bundle.crt
     default_realm = MYDOMAIN.COM
     default_ccache_name = KEYRING:persistent:%{uid}
     default_tkt_enctypes = rc4-hmac       #Add this line to use rc4-hmac encryption only
     default_tgs_enctypes = rc4-hmac       #Add this line to use rc4-hmac encryption only
  6. 要确保 Horizon Agent 识别使用 SSSD 身份验证加入域的 Linux 虚拟机,请将以下行添加到 /etc/vmware/viewagent-custom.conf 配置文件中。
    OfflineJoinDomain=sssd
  7. 重新启动最佳配置映像 Linux 虚拟机,并在 vCenter Server 中为虚拟机生成快照。