EC2 加入 Linux域w/ SSM - AWS-JoinDirectoryServiceDomain - winbind vs sssd...
【以下的问题经过翻译处理】 大家好,有个问题比较奇怪。我在尝试重新配置我的环境,以便能够让今后创建的任何实例启用后,可以无缝地加入到域,在此之前,我们一直在使用SSSD手动添加Linux EC2实例。
我们按照这里的文档(https://docs.aws.amazon.com/directoryservice/latest/admin-guide/seamlessly_join_linux_instance.html)进行操作后,发现 AWS-JoinDirectoryServiceDomain SSM 文档使用 winbind的方式,这使得我们以前使用sssd 配置的每个组件几乎都不适用(例如将SSH访问限制到实例的特定组,realm 命令略有不同,FSx for Windows 挂载命令等)。
经过资料查阅,我们认为似乎SSSD是更好的方法,因为它更现代化,更具有灵活性。为什么SSM要使用 winbind?AWS 是否有计划更新此文档以改用 SSSD?考虑到我首次配置将实例无缝加入域时遇到的各种小挑战,我有点担心继续使用此文档/方法来操作是否能成功。
谢谢!
- 最新
- 投票最多
- 评论最多
【以下的回答经过翻译处理】 SSSD确实是将Linux实例添加到Active Directory的首选方法,但它有一个限制,即不支持森林信任身份验证。RedHat文档说明如下:
SSSD仅支持单个AD森林中的域。如果SSSD需要访问多个森林中的多个域,请考虑使用带有信任的IPA(首选)或winbindd服务而不是SSSD。 参见:https://access.redhat.com/documentation/en-us/red_hat_enterprise_linux/8/html/integrating_rhel_systems_directly_with_windows_active_directory/connecting-rhel-systems-directly-to-ad-using-sssd_integrating-rhel-systems-directly-with-active-directory#connecting-to-multiple-domains-different-ad-forests-sssd_connecting-directly-to-ad
现在,大多数使用托管AD的客户都在本地部署有一个森林,并需要跨信任进行身份验证,在加入域时使用SSSD将阻止此跨信任身份验证。为解决这个SSSD限制,无缝域加入脚本中默认使用了支持森林信任的Winbind。
为了支持默认使用SSSD进行Active Directory域加入的需求,我将会提出一个功能请求,能够提供一份单独的文档。
相关内容
AWS 官方已更新 3 年前- AWS 官方已更新 1 年前
- AWS 官方已更新 1 年前
- AWS 官方已更新 1 年前