Durch die Nutzung von AWS re:Post stimmt du den AWS re:Post Nutzungsbedingungen
AWS re:Postre:Post

EC2 加入 Linux域w/ SSM - AWS-JoinDirectoryServiceDomain - winbind vs sssd...

0

【以下的问题经过翻译处理】 大家好,有个问题比较奇怪。我在尝试重新配置我的环境,以便能够让今后创建的任何实例启用后,可以无缝地加入到域,在此之前,我们一直在使用SSSD手动添加Linux EC2实例。

我们按照这里的文档(https://docs.aws.amazon.com/directoryservice/latest/admin-guide/seamlessly_join_linux_instance.html)进行操作后,发现 AWS-JoinDirectoryServiceDomain SSM 文档使用 winbind的方式,这使得我们以前使用sssd 配置的每个组件几乎都不适用(例如将SSH访问限制到实例的特定组,realm 命令略有不同,FSx for Windows 挂载命令等)。

经过资料查阅,我们认为似乎SSSD是更好的方法,因为它更现代化,更具有灵活性。为什么SSM要使用 winbind?AWS 是否有计划更新此文档以改用 SSSD?考虑到我首次配置将实例无缝加入域时遇到的各种小挑战,我有点担心继续使用此文档/方法来操作是否能成功。

谢谢!

Themen
Sicherheit, Identität & KonformitätKalkulationManagement & Unternehmensführung
Tags
AWS Directory ServiceAmazon EC2AWS Systemmanager
Sprache
中文 (简体)
profile picture
EXPERTE
rePost Polyglot
gefragt vor 5 Monaten14 Aufrufe
1 Antwort
0

【以下的回答经过翻译处理】 SSSD确实是将Linux实例添加到Active Directory的首选方法,但它有一个限制,即不支持森林信任身份验证。RedHat文档说明如下:

SSSD仅支持单个AD森林中的域。如果SSSD需要访问多个森林中的多个域,请考虑使用带有信任的IPA(首选)或winbindd服务而不是SSSD。 参见:https://access.redhat.com/documentation/en-us/red_hat_enterprise_linux/8/html/integrating_rhel_systems_directly_with_windows_active_directory/connecting-rhel-systems-directly-to-ad-using-sssd_integrating-rhel-systems-directly-with-active-directory#connecting-to-multiple-domains-different-ad-forests-sssd_connecting-directly-to-ad

现在,大多数使用托管AD的客户都在本地部署有一个森林,并需要跨信任进行身份验证,在加入域时使用SSSD将阻止此跨信任身份验证。为解决这个SSSD限制,无缝域加入脚本中默认使用了支持森林信任的Winbind。

为了支持默认使用SSSD进行Active Directory域加入的需求,我将会提出一个功能请求,能够提供一份单独的文档。

profile picture
EXPERTE
rePost Polyglot
beantwortet vor 5 Monaten

Du bist nicht angemeldet. Anmelden um eine Antwort zu veröffentlichen.

Eine gute Antwort beantwortet die Frage klar, gibt konstruktives Feedback und fördert die berufliche Weiterentwicklung des Fragenstellers.

Richtlinien für die Beantwortung von Fragen

Relevanter Inhalt