Недавно мы привязали наш Linux сервер к домену AD. Теперь мы можем выполнять простые операции следующим образом:
- Войдите на наш Linux сервер с учетными записями AD (также через S SH)
- Перечислите и узнайте нашу AD группы с помощью команды id
- Создание файлов, владение этими файлами и другие простые операции
- Создание ACL на сервере Linux с участием наших пользователей и групп AD
Однако, похоже, что наши пользователи не могут получить доступ с группами, отличными от их основной группы.
Шаги, которые мы попробовали
Допустим, пользователь AD с именем foo является членом "group_A@domain.dom "," group_B@domain.dom "группы AD и group_A, определенные как основная группа. Мы ожидали, что пользователь foo сможет получить доступ к файлам, принадлежащим group_A или group_B, но мы обнаружили, что пользователь foo не может получить доступ к файлам, принадлежащим (или имеющим разрешения), назначенным group_B.
Поэтому наш пользователь является членом многих групп объявлений, но эффективна только основная группа, и он может предоставить пользователю доступ к файлам на сервере Linux. Похоже, что это явление происходит во всей нашей среде
Что мы можем сделать, чтобы наши пользователи AD могли получить доступ через все группы, членами которых они являются, а не только с их основной группой?
Техническая информация
Мы используем сервер Rhel7 Linux и присоединили его к домену windows с помощью инструмента realm . Мы не дали нашим пользователям атрибуты POSIX, и существует автоматическое сопоставление идентификаторов