早安,
我在一些 Ubuntu 服务器上运行了 Kerberos 设置,当他登录到命令提示符时,用户密码会根据 AD 检查,这就是所有需要发生的事情。所以一个简单的 krb5.conf 已经创建:
[libdefaults]
default_realm = COMPANYA.COM
default_keytab_name = FILE:/etc/krb5/krb5.keytab
[realms]
COMPANYA.COM = {
kdc = 192.168.120.1:88
admin_server = 192.168.120.1:749
default_domain = COMPANYA.COM
}
[domain_realm]
.companya.com = COMPANYA.COM
companya.com = COMPANYA.COM
并且用户是使用与他们在 AD 中的 samaa 名称相同的用户名创建的,pam-auth-update 启用了 kerberos,并且在过去几年中一直运行良好。
但是我们的用户开始分裂,因此将来会有2个广告,这么简单的例子:
在 AIX 下,这很容易通过将 COMPANYA.COM 和 COMPNAYB.COM 添加到 [realms] 和 [domain_realm] 下的 krb5.conf 来完成。然后只需使用 chuser auth_domain=COMPANYA.COM 或 chuser auth_domain=COMPANYB.COM 更新他们在 /etc/security/user 中的条目,并且在登录时将根据正确的 AD 验证他们的密码。
不过我一直没能在Linux下找到类似chuser auth_domain=的东西。 krb5.conf 可能与 AIX 相同(一直如此),但是如何确保如果用户登录,他会根据他存在的 AD 进行检查?
感谢您给我指出正确方向的任何提示。
问候,