系統安全服務精靈 (SSSD) 驗證方法是支援在即時複製 Linux 虛擬機器 (VM) 上執行離線網域加入的解決方案之一。
系統安全服務精靈 (SSSD) 驗證支援執行下列 Linux 發行版的即時複製桌面平台進行 Active Directory 的離線網域加入。
- Ubuntu 18.04/20.04/22.04
- RHEL 7.x/8.x
- CentOS 7.x
- SLED/SLES 12.x/15.x
請使用以下程序中所述的準則,使用 SSSD 驗證對即時複製 Linux 虛擬機器執行離線網域加入,以將其加入到 Active Directory (AD)。
程序
- 在最佳配置映像 Linux 虛擬機器上,使用 SSSD 驗證執行網域加入。請確保最佳配置映像使用與即時複製相同的網域。
如需詳細的網域加入指示,請參閱適用於您的 Linux 發行版的說明文件。
- 安裝 krb5 支援庫。
- (Ubuntu) 請執行下列命令。
sudo apt-get install krb5-user
- (RHEL/CentOS) 請執行下列命令。
sudo yum install krb5-workstation
- (SLED/SLES) 請依序執行下列命令。
sudo zypper install krb5-client
sudo ln -s /usr/lib/mit/bin/ktutil /usr/bin/ktutil
sudo ln -s /usr/lib/mit/bin/kvno /usr/bin/kvno
- 安裝 Horizon Agent for Linux,如在 Linux 虛擬機器上安裝 Horizon Agent中所述。
- 使用下列範例作為參考,修改 /etc/sssd/sssd.conf 組態檔。
請將預留位置值取代為您的組態特有的資訊:
- 將 mydomain.com 取代為 AD 網域的 DNS 名稱。
- 將 MYDOMAIN.COM 取代為 AD 網域的 DNS 名稱 (全部使用大寫字母)
[sssd]
domains = mydomain.com
config_file_version = 2
services = nss, pam
[domain/mydomain.com]
ad_domain = mydomain.com
krb5_realm = MYDOMAIN.COM
realmd_tags = manages-system joined-with-adcli
cache_credentials = True
id_provider = ad
krb5_store_password_if_offline = True
default_shell = /bin/bash
ldap_id_mapping = True
use_fully_qualified_names = False #Use short name for user
fallback_homedir = /home/%u@%d
access_provider = ad
ad_gpo_map_interactive = +gdm-vmwcred #Add this line for SSO
ad_gpo_access_control = permissive #Deactivate GPO access control in the cloned VM
- (RHEL/CentOS 7.x、Ubuntu 18.04、SLED/SLES 12.x) 將 /etc/krb5.conf 組態檔修改為僅使用 rc4-hmac 加密演算法。
使用 SSSD 驗證將即時複製 RHEL/CentOS 7.x、Ubuntu 18.04 或 SLED/SLES 12.x 虛擬機器加入網域時,這是唯一支援的加密演算法。
[libdefaults]
dns_lookup_realm = false
ticket_lifetime = 24h
renew_lifetime = 7d
forwardable = true
rdns = false
pkinit_anchors = FILE:/etc/pki/tls/certs/ca-bundle.crt
default_realm = MYDOMAIN.COM
default_ccache_name = KEYRING:persistent:%{uid}
default_tkt_enctypes = rc4-hmac #Add this line to use rc4-hmac encryption only
default_tgs_enctypes = rc4-hmac #Add this line to use rc4-hmac encryption only
- 若要確保 Horizon Agent 識別使用 SSSD 驗證加入網域的 Linux 虛擬機器,請將以下行新增至 /etc/vmware/viewagent-custom.conf 組態檔中。
- 重新啟動最佳配置映像 Linux 虛擬機器,並擷取 vCenter Server 中的虛擬機器的快照。