从 Active Directory 分配 UID 和 GID

SSSD 中的 AD 映射是使用守护程序本身中的算法（可能是哈希函数）确定的：因为它是内置的，如果您保持默认值相同，则使用 SSSD 的每台计算机都应将 ID 映射到相同的值，而不管计算机如何正在使用。以下是Red Hat 对 AD 映射的解释：

SSSD 可以使用 AD 用户的 SID 在称为 ID 映射的过程中通过算法生成 POSIX ID。ID 映射在 AD 中的 SID 和 Linux 上的 ID 之间创建映射。

• 当 SSSD 检测到新的 AD 域时，它会将一系列可用 ID 分配给新域。因此，每个 AD 域在每个 SSSD 客户端计算机上具有相同的 ID 范围。

• 当 AD 用户首次登录 SSSD 客户端计算机时，SSSD 会在 SSSD 缓存中为该用户创建一个条目，包括基于用户 SID 的 UID 和该域的 ID 范围。

• 因为 AD 用户的 ID 是从同一个 SID 以一致的方式生成的，所以用户在登录到任何 Red Hat Enterprise Linux 系统时都具有相同的 UID 和 GID。

您可以使用 sssd.conf的 [domain/ name ] 部分中的min_id和max_id设置 ID 最小值和最大值。在“域部分”下查看描述；“示例”有一个使用示例：

[sssd]
domains = LDAP
services = nss, pam
config_file_version = 2

[nss]
filter_groups = root
filter_users = root

[pam]

[domain/LDAP]
id_provider = ldap
ldap_uri = ldap://ldap.example.com
ldap_search_base = dc=example,dc=com

auth_provider = krb5
krb5_server = kerberos.example.com
krb5_realm = EXAMPLE.COM
cache_credentials = true

min_id = 10000
max_id = 20000
enumerate = False

如果您覆盖这些值，如果您想保持一致的映射，请确保在使用 SSSD 中的该域的任何其他系统上设置相同的映射！