银河麒麟桌面操作系统加入Windows AD域

1、windows AD 服务器环境须知
接入AD域时，需要知道AD服务器的域名、加入的域账号密码，OU等配置信息，本次测试环境信息如下：
AD域名：kylinpa.com

2、麒麟系统客户端配置
2.1 主机名设置
主机名是机器的重要标识，因此，在加入域之前，使用hostnamectl命令或通过手动编辑/etc/hostname文件来为麒麟系统主机设置一个合适的主机名（本域内唯一）。

kylin@kylin-VMware-Virtual-Platform:~$ sudo hostnamectl set-hostname wang.kylinpa.com
[sudo] kylin 的密码：
kylin@kylin-VMware-Virtual-Platform:~$ cat /etc/hostname
wang.kylinpa.com
kylin@kylin-VMware-Virtual-Platform:~$

修改hosts文件，将127.0.1.1后面的内容改为当前主机名wang.kylinpa.com
2.2、网络配置
通过右下角网络图标——>设置网络——>ipv4设置，利用图形化界面根据实际情况配置IP地址、DNS、搜索域等信息，确保可以正常解析到AD域名。
3、麒麟系统软件安装
在麒麟系统上安装加入AD域环境所必须的软件包和依赖包（依赖较多，建议联网下载），命令如下

kylin@kylin-VMware-Virtual-Platform:~$ sudo apt install realmd sssd sssd-tools libnss-sss libpam-sss adcli

4、加入AD域
执行adcli工具，将本机加入AD域服务器（需要root或sudo权限）。

kylin@kylin-VMware-Virtual-Platform:~$ sudo adcli join kylinpa.com -U test     # 执行完命令需要输入当前域账号密码

test一般为AD域管理员账号，但大多数情况下，该管理员账号不可能让个人知道，每个人只知道自己的域账号密码，此时若自己的域账号权限较高，拥有加域权限，则也可直接将test换成自己的域账号，若没有加域权限，则需要知道自己的OU（Organization Unit），在加域时指明OU

kylin@kylin-VMware-Virtual-Platform:~$ sudo adcli join kylinpa.com -O OU=xx,xx,xx -U test    # 执行完命令需要输入当前域账号密码

创建sssd配置文件，新建/etc/sssd/sssd.conf文件，该文件权限为600，并添加如下内容

[sssd]
domains = kylinipa.com #修改域名
config_file_version = 2
services = nss, pam
[domain/kylinipa.com] #修改域名
default_shell = /bin/bash
krb5_store_password_if_offline = True
cache_credentials = True
krb5_realm = KYLINIPA.COM #域名大写
realmd_tags = manages-system joined-with-adcli
id_provider = ad
fallback_homedir = /home/%u
ad_domain = kylinipa.com
use_fully_qualified_names = False
ldap_id_mapping = True
ldap_min_id = 10000
ldap_max_id = 100000
ldap_idmap_range_min = 10000
ldap_idmap_range_max = 100000
ldap_idmap_range_size = 1000
access_provider = ad	

修改完配置文件后，需重启sssd服务

kylin@kylin-VMware-Virtual-Platform:~$ sudo systemctl restart sssd

查看加域信息

# 查看加域信息
kylin@kylin-VMware-Virtual-Platform:~$ sudo realm list
# 查看AD域用户信息
kylin@kylin-VMware-Virtual-Platform:~$ getent list

修改系统相关配置

由于麒麟桌面系统默认是不允许输入用户名进行登录的，想要配置登录界面允许输入用户名登录，需修改文件/usr/share/lightdm/lightdm.conf.d/95-ukui-greeter.conf，在该文件最后添加greeter-show-manual-login=true

kylin@kylin-VMware-Virtual-Platform:/usr/share/lightdm/lightdm.conf.d$ cat 95-ukui-greeter.conf
[Seat:*]
greeter-session=ukui-greeter
user-session=ukui
# 添加如下内容
greeter-show-manual-login=true

设置用户登录时自动创建用户主目录

kylin@kylin-VMware-Virtual-Platform:/$ sudo pam-auth-update --add mkhomedir

配置AD域账号权限
AD域账号登录时默认没有管理员权限，此时需要手动将AD域账号加入sudo权限列表，若现场为云桌面模式时，可以在模板机上以组的方式进行添加，在/etc/sudoers.d目录下新建ad-sudoer文件，添加内容如下：

test   ALL=（ALL） ALL

至此，加域操作已全部完成，可重启系统，重新用AD域账号进行登录使用了