Nálam a conf fileban nem volt ad_server = sor, azt pótoltam. Jó volt a tipp, a fallback_homedir -nél is ott volt a %d. Most kiszedtem. dyndns_update = false sem volt, bár jelen esetben szerintem az nem sok vizet zavar. De azért felvettem, megfér ott. :)
Jelenleg ugyanazok a főbb config elemek vannak, mint nálad, egyedüli különbség, hogy access_provider = simple helyett nekem ad a vége. + a simple_allow_groups = sor sem volt, de azt jelenleg csak commentelve vettem fel.
A módosítások után volt egy service restart. Most az sssd status-ra azt írja ki, hogy active (running), de alul jelez pár problémát:
sssd[5268]: Starting up
sssd_be[5269]: Starting up
sssd_nss[5270]: Starting up
sssd_pam[5271]: Starting up
systemd[1]: Started System Security Services Daemon.
sssd_be[5269]: Group Policy Container with DN [cn={D3....5},cn=policies,cn=system,DC=xy,DC=intra] is unreadable or has unreadable or missing attributes. In order to fix this make sure that this AD object has following attributes readable: nTSecurityDescriptor, cn, gPCFileSysPath, gPCMachineExtensionNames, gPCFunctionalityVersion, flags. Alternatively if you do not have access to the server or can not change permissions on this object, you can use option ad_gpo_ignore_unreadable = True which will skip this GPO. See ad_gpo_ignore_unreadable in 'man sssd-ad' for details.
A laptopon 2 AD-s belépési próbálkozás után próbáltam logot nézni, de legutóbb negyed órával előtte írt bele.
Az általad küldött linket nézve nyomtam egy pam-auth-update-et, de az activate mkhomedir rendben volt. Nyomtam még egy realm permit --all -t is és a sudoers.d/domain_admins alá is felvettem a testuser-t
Próbáltam 1 olyat is, hogy GUI-n hozom létre a usert. Ott az enterprise login alatt megjelenik az xy.intra, létre is jön a GUI-s felületen a local user. (de a home alá már nem hozott létre foldert). Ráadásul egyból dobott is egy hibaüzenetet. A details alatt ezt írta:
problem type: crash
Title: sssd crashed with SIGABRT