在 RHEL 7/8 中,如果用于领域加入的帐户密码按计划更改,路边票是否会停止刷新?还是仅在加入时使用加入密码?我们正在努力消除服务帐户,这里的许多人都记得这总是涉及带有静态密码的服务帐户。我们不清楚这是有充分的理由,还是只是一种遗留习惯。
我似乎无法解决的第二个问题是路边票未能刷新,因为请求似乎是“示例”而不是“example.group.com”。我找不到您在 sssd/kerb 中强制使用 fqdn 的位置。
问问题
79 次
1 回答
0
您在加入期间提供的密码是用户(域管理员)密码,仅用于通过 LDAP 创建机器的域帐户。
在正常操作中,SSSD 使用机器自己的帐户来访问目录,使用来自 /etc/krb5.keytab 的凭据来获取 LDAP 访问的票证(您可以运行klist -k以查看其内容),并且可能用于 Kerberos FAST 装甲。
机器帐户具有随机生成的密钥(或在 AD 的情况下随机生成的密码)。机器帐户密码通常不会过期,并且 AD DC不会对其强制执行过期策略,尽管 SSSD可以像 Windows 一样每月更改机器密码。
换句话说,AD 中“域加入”的目的主要是设置一个特定于机器的帐户,这样您就不需要在所有系统中部署任何类型的共享“LDAP 客户端”服务凭据。
于 2021-12-03T07:13:53.757 回答