Особенности:
SSSD требует ручного указания настроек для каждого трастового домена в клиентской конфигурации в файле /etc/sssd/sssd.conf;
SSSD не поддерживает трасты уровня леса (Forest Trusts), что ограничивает его возможности при работе с многоуровневыми лесами доменов. Однако, для большинства стандартных трастов (External Trust) SSSD может быть применен;
по умолчанию пул UID/GID для сопоставления SID в SSSD имеет ограниченный размер. Для больших доменов с количеством пользователей более 200 тысяч этот пул необходимо расширять вручную.
При стандартной конфигурации настраивается 10000 срезов, каждый из которых может содержать до 200000 идентификаторов, начиная от 200000 и до 2000200000.
Из общего диапазона, размером 2 миллиарда под каждый домен выделяется срез ID размером 200000, каждому домену может соответствовать только один единственный срез.
Для увеличения размера среза в конфигурации SSSD используются параметры:
ldap_idmap_range_min — нижняя (включительно) граница диапазона идентификаторов;
ldap_idmap_range_max — верхняя (не включительно) граница диапазона идентификаторов;
ldap_idmap_range_size — количество идентификаторов, доступных для каждого среза. Значение должно быть не меньше значения максимального RID пользователя, запланированного для использования на сервере AD.
Эти параметры позволяют адаптировать пул UID/GID под нужды домена. Однако, увеличивая размер среза, необходимо уменьшать количество срезов, что увеличивает вероятность коллизий (по умолчанию вероятность коллизии одного конкретного домена с другим составляет 1/10000).
На машине введённой в домен необходимо в файл
/etc/sssd/sssd.conf добавить доверенный домен:
[domain/EXAMPLE.ALT/TEST.ALT]
use_fully_qualified_names = false
и перезапустить sssd:
# systemctl restart sssd
После перезапуска
sssd можно проверить, есть ли возможность просматривать пользователей из обоих доменов:
# getent passwd ivanov
ivanov:*:1855401105:1855400513:Иван Иванов:/home/TEST.ALT/ivanov:/bin/bash
# getent passwd kim
С помощью команды
sssctl можно вывести все домены, с которыми готова взаимодействовать клиентская машина, а также их статусы:
# sssctl domain-list
EXAMPLE.ALT
TEST.ALT
# sssctl domain-status EXAMPLE.ALT
Online status: Online
Active servers:
AD Global Catalog: s1.example.alt
AD Domain Controller: s1.example.alt
Discovered AD Global Catalog servers:
- s1.example.alt
Discovered AD Domain Controller servers:
- s1.example.alt
В случае проблем с авторизацией пользователем из доверенного домена, в
/etc/sssd/sssd.conf в секцию основного домена можно вписать:
krb5_validate = false
