我怎样才能用我的Active Directory凭据login我的Linux机器?

我在Windows计算机RDP到RHEL 7服务器。 我现在希望能够使用我的Windows域凭据(通过SSH,最好是RDP,但不是必需的)login到该服务器。 以下是我到目前为止:

  • realm list返回我的域信息
  • kinit [email protected]正常工作
  • ldapsearch -H ldap://srv-ad.mycompancy.local/ -Y GSSAPI -N -b "dc=mycompany,dc=local" "(sAMAccountName=SRV-DEV008$)"从LDAP返回有关该帐户的所有信息。 srv-dev008是我的RHEL服务器。
  • 我像这样configuration我的PAM: Archlinux Wiki

但是,我无法使用我的域凭据login。 我没有直接访问AD,因为我不是我公司的pipe理员。 我应该可以在没有他们的帮助的情况下完成这个任务(这是为了学徒),他们所做的只是将SRV-DEV008机器账户添加到AD中。 我错过了什么? 我感谢任何帮助。

您可以使用sssd和RHEL7

查看本指南: https : //access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/7/pdf/Windows_Integration_Guide/Red_Hat_Enterprise_Linux-7-Windows_Integration_Guide-en.pdf

(确认你已经安装了第一个:yum info sssd)

sssd.conf:

[sssd] domains = mycompany.local services = nss config_file_version = 2

[nss] filter_groups =根filter_users = root

[domain / mycompany.local] id_provider = ad auth_provider = ad access_provider = ad chpass_provider = ad adserver = srv-ad.mycompancy.local ad_hostname = SRV-DEV008.mycompancy.local ad_domain = mycompancy.local

在我的老师自己试图解决这个问题后,他发现没有pipe理员密码是不可能的,所以我们有一个pipe理员可以远程input。 然后,我可以将域帐户添加到本地计算机,但是,我无法使用尚未在计算机上创build的域帐户login。 为了解决这个问题,我使用了命令realm permit --all ,它允许所有域用户(如果他们提供了正确的凭据)login到机器上。 现在剩下要做的就是让这些用户使用sudo。