ÄNDRADE STANDARDALTERNATIV
Vissa alternativs standardvärde stämmer inte med deras respektive bakändars
standardvärden, dessa alternativnamn och AD-leverantörspecifika
standardvärden är uppräknade nedan:
KRB5-leverantör
krb5_validate = true
krb5_use_enterprise_principal = true
LDAP-leverantör
ldap_schema = ad
ldap_force_upper_case_realm = true
ldap_id_mapping = true
ldap_sasl_mech = GSS-SPNEGO
ldap_referrals = false
ldap_account_expire_policy = ad
ldap_use_tokengroups = true
ldap_sasl_authid = sAMAccountName@RIKE (typiskt KORTNAMN$@RIKE)
AD-leverantören letar efter en annan huvudman än LDAP-leverantören som
standard, eftersom huvudmännen i en Active Directory-miljö är uppdelade i
två grupper – användarhuvudmän och tjänstehuvudmän. Endast
användarhuvudmannen kan användas för att hämta en TGT och som standard är
datorobjekts huvudman konstruerade från dess sAMAccountName och AD-riket.
Den välkända huvudmannen för värd/värdnamn@RIKE är en tjänstehuvudman och
kan därmed inte användas för att hämta en TGT.
NSS-konfiguration
fallback_homedir = /home/%d/%u
AD-leverantören sätter automatiskt ”fallback_homedir = /home/%d/%u” för att
tillhandahålla personliga hemkataloger för användare utan attributet
homeDirectory. Om ens AD-domän är vederbörligen populerad med
Posix-attribut, och man vill undvika att falla tillbaka på detta beteende,
kan man uttryckligen sätta ”fallback_homedir = %o”.
Observera att systemet typiskt förväntar sig en hemkatalog i mappen
/home/%u. Om man bestämmer sig för att använda en annan katalogstruktur kan
några andra delar av ens system behöva justeras.
Till exempel kräver automatiserat skapande av hemkataloger i kombination med
selinux anpassningar av selinux, annars kommer hemkatalogen skapas med fel
selinux-kontext.