两周来一直试图解决一个问题,但没有成功。所以我会把它分解成更小的问题,希望能理解这个过程并找到解决方案。
我们有一个 Windows AD 域,其中一些 Linux (Debian) 客户端通过 sssd 加入。加入域的 Linux 客户端向 DC 服务器发送安全事件(事件 ID:4624、4768、4769、4770、4634、4661、4623)。所有事件都在 AD 上填充。所以设备正在通信。我们的问题在于这些事件中的一些值(字段)(例如,TargetUserName 显示主机名而不是用户名 - 我们需要它来显示用户名,以便我们的 SSO 代理可以读取用户状态)。
问题 1:Linux 客户端上的事件是如何/在哪里生成的?我想知道哪个文件生成了上述安全事件,以便我可以仔细查看并在需要时进行修改。
问题 2:Linux 客户端通过哪种方法告诉 KDC (AD) 域用户已登录/退出/处于活动状态/已更改组等?它是使用主机的 keytab (/etc/krb5.keytab) 进行通信还是使用 /tmp/krb5cc_**** _下生成的用户令牌文件?
如果需要,我可以在此处提供 sssd、smbclient、krb5 任何配置文件。