Возможна ли авторизация пользователей из нескольких доменов AD?

Question

[Vellis-msk]

Добрый день.
Дано:
Ряд Linux серверов
2 AD - отдельные леса, но с трастами в обе стороны, допустим domain1.local и domain2.lan
Задача - средствами sssd, krb5, realm подключить Linux машины к domain2.lan. С этим никаких проблем, все легко и просто. Самое главное, разрешить вход пользователей доменной группы domain2.lan (допустим linux-users), в которую входят пользователи обоих доменов, т.е. как domain2.lan так и domain1.local.
И если с пользователями domain2.lan все предельно просто и успешно, то юзеры группы linux-users из domain1.local никак не могут авторизоваться.
Есть ли у кого опыт таких извращений? Вообще возможна ли реализация такой схемы?

Answer 1

[mikes]

У нас похожая схема и таких проблем не возникает.
проверьте вариант когда в sssd нет ограничений по группам. входят ли пользователи из domain1

Comments

[Vellis-msk]

К сожалению не помогло.
Конфиг sshd:

[sssd]
domains = domain2.lan, domain1.local
config_file_version = 2
services = nss, pam
default_domain_suffix = domain2.lan

[domain/domain2.lan]
ad_domain = domain2.lan
ad_hostname = vs-labs-dc01.domain2.lan
krb5_realm = DOMAIN2.LAN
realmd_tags = manages-system joined-with-adcli
cache_credentials = True
id_provider = ad
krb5_store_password_if_offline = True
default_shell = /bin/bash
ldap_id_mapping = True
full_name_format = %1$s
use_fully_qualified_names = True
fallback_homedir = /home/%u@%d
access_provider = ad

[domain/domain1.local]
ad_domain = domain1.local
ad_hostname = vs-labs-dc01.domain2.lan
krb5_realm = DOMAIN1.LOCAL
realmd_tags = manages-system joined-with-adcli
cache_credentials = True
id_provider = ad
krb5_store_password_if_offline = True
default_shell = /bin/bash
ldap_id_mapping = True
full_name_format = %1$s
use_fully_qualified_names = True
fallback_homedir = /home/%u@%d
access_provider = ad

Юзеры из domain1.local получают:
Permission denied, please try again.
Что я делаю не так? У вас тоже разные леса? В рамках одного леса думаю проблем быть не должно, а тут всё же 2 разных леса, но с двусторонними трастами. На win-хостах всё ок, а тут никак не хочет.

Answer 2

[Zerg89]

Попробуйте закоментировать default_domain_suffix, возможно придёться дописать re_expression, но это уже по логам sssd смотреть, что там происходит.