这里有两个不同的考虑因素:
1)身份验证(密码验证)
2)授权(身份映射/组成员资格等)
对于客户:
您可以通过匿名客户端(无域加入/主机信用)通过Kerberos进行身份验证(密码检查).但是,您无法使用host-creds(/etc/krb5.keytab)执行GSSAPI SSO和KDC验证.
对于授权,您需要能够对AD-DC进行LDAP绑定/查找.
通常,AD不允许匿名LDAP绑定,因此您需要某种客户端凭据.要么明确创建&维护服务帐户或主机信用(由域加入创建/维护).
在ldap.conf或sssd.conf文件中,您可以列出显式服务帐户信用或告诉它使用host-creds.
如果您有主机信用并在sssd中使用’ad’id_provider,您将获得诸如自动主机信誉维护等优势.
请注意,如果要将AD用于授权服务,则需要将rfc2307样式信息(EG uidNumber,gidNumber等)添加到要在Unix / Linux客户端上使用的每个用户帐户.
对于服务器:
如果他们要提供任何基于Kerberized / GSSAPI的服务,那么他们必须拥有主机信用(加入域)并在AD的计算机帐户中拥有有效的UPN / SPN记录.将AD视为提供Kerberos KDC功能.
例如:如果你有一个Kerberized NFSv4文件服务器,那么不仅需要一个“host / F.Q.D.N”SPN账号中需要一个“nfs / F.Q.D.N”SPN.在服务器上的krb5.keytab文件中.