系統安全服務精靈 (SSSD) 驗證方法是支援在即時複製 Linux 虛擬機器 (VM) 上執行離線網域加入的解決方案之一。

系統安全服務精靈 (SSSD) 驗證支援執行下列 Linux 發行版的即時複製桌面平台進行 Active Directory 的離線網域加入。

  • Ubuntu 20.04/22.04
  • Debian 10.x/11.x/12.x
  • RHEL 7.9/8.x/9.x
  • Rocky Linux 8.x/9.x
  • CentOS 7.9
  • SLED/SLES 15.x

請使用以下程序中所述的準則,使用 SSSD 驗證對即時複製 Linux 虛擬機器執行離線網域加入,以將其加入到 Active Directory (AD)。

程序

  1. 在最佳配置映像 Linux 虛擬機器上,使用 SSSD 驗證執行網域加入。請確保最佳配置映像使用與即時複製相同的網域。
    如需詳細的網域加入指示,請參閱適用於您的 Linux 發行版的說明文件。
    • (Ubuntu) 移至 https://ubuntu.com/server/docs,然後搜尋與 SSSD 和 Active Directory 相關的資訊。
    • (RHEL/CentOS) 移至 Red Hat 客戶入口網站,然後尋找發行版本的說明文件頁面。例如,您可以在 https://access.redhat.com/documentation/en-us/red_hat_enterprise_linux/ 中找到英文說明文件。
      • 對於 RHEL 9.x,請尋找「在 RHEL 中設定驗證和授權」文件,並搜尋與 SSSD 相關的資訊。
      • 對於 RHEL 8.x,尋找「直接整合 RHEL 系統與 Windows Active Directory」文件,並搜尋與「使用 SSSD 直接將 RHEL 系統連線至 AD」相關的資訊。
      • 對於 RHEL/CentOS 7.x,請尋找《Windows 整合指南》,然後搜尋與「探索並加入身分識別網域」相關的資訊。
    • (Rocky Linux) 移至位於 https://docs.rockylinux.org/ 的 Rocky Linux 說明文件入口網站,然後搜尋與 SSSD 相關的資訊。
    • (SLED/SLES) 移至位於 https://documentation.suse.com/ 的 SUSE 說明文件入口網站,並搜尋與「整合 Linux 和 Active Directory 環境」相關的資訊。
  2. 安裝 krb5 支援庫。
    • (Ubuntu) 請執行下列命令。
      sudo apt-get install krb5-user
    • (RHEL/CentOS 和 Rocky Linux) 執行以下命令。
      sudo yum install krb5-workstation
    • (SLED/SLES) 請依序執行下列命令。
      sudo zypper install krb5-client
      sudo ln -s /usr/lib/mit/bin/ktutil /usr/bin/ktutil
      sudo ln -s /usr/lib/mit/bin/kvno /usr/bin/kvno
  3. 安裝 Horizon Agent for Linux,如在 Linux 機器上安裝 Horizon Agent中所述。
  4. 使用下列範例作為參考,修改 /etc/sssd/sssd.conf 組態檔。
    請將預留位置值取代為您的組態特有的資訊:
    • mydomain.com 取代為 AD 網域的 DNS 名稱。
    • MYDOMAIN.COM 取代為 AD 網域的 DNS 名稱 (全部使用大寫字母)
    [sssd]
    domains = mydomain.com
    config_file_version = 2
    services = nss, pam
     
    [domain/mydomain.com]
    ad_domain = mydomain.com
    krb5_realm = MYDOMAIN.COM
    realmd_tags = manages-system joined-with-adcli
    cache_credentials = True
    id_provider = ad
    krb5_store_password_if_offline = True
    default_shell = /bin/bash
    ldap_id_mapping = True
    use_fully_qualified_names = False        #Use short name for user
    fallback_homedir = /home/%u@%d
    access_provider = ad
    ad_gpo_map_interactive = +gdm-vmwcred    #Add this line for SSO
    ad_gpo_access_control = permissive       #Deactivate GPO access control in the cloned VM
  5. (RHEL/CentOS 7.x) 將 /etc/krb5.conf 組態檔修改為僅使用 rc4-hmac 加密演算法。
    使用 SSSD 驗證將即時複製 RHEL/CentOS 7.x 虛擬機器加入網域時,這是唯一支援的加密演算法。
    [libdefaults]
     dns_lookup_realm = false
     ticket_lifetime = 24h
     renew_lifetime = 7d
     forwardable = true
     rdns = false
     pkinit_anchors = FILE:/etc/pki/tls/certs/ca-bundle.crt
     default_realm = MYDOMAIN.COM
     default_ccache_name = KEYRING:persistent:%{uid}
     default_tkt_enctypes = rc4-hmac       #Add this line to use rc4-hmac encryption only
     default_tgs_enctypes = rc4-hmac       #Add this line to use rc4-hmac encryption only
  6. 若要確保 Horizon Agent 識別使用 SSSD 驗證加入網域的 Linux 虛擬機器,請將以下行新增至 /etc/vmware/viewagent-custom.conf 組態檔中。
    OfflineJoinDomain=sssd
  7. 重新啟動最佳配置映像 Linux 虛擬機器,並擷取 vCenter Server 中的虛擬機器的快照。