干杯,
我通过LDAP(openldap 2.4.23-32.el6_4.1)通过SSSD(1.9.2-129.el6)与CentOS 6x + PAM(1.1.1-17.el6)有问题。
它的配置方式是用户可以使用存储在LDAP服务器中的凭据进入系统,并且运行良好。 一个问题是'id'不显示在ldap数据库中创建的其他组。
因此,再一次 - 操作系统没有看到在ldap中配置的其他组,但是在ldap中输入的主组是正常的。
在nsswitch.conf中:
passwd: files sss
shadow: files sss
group: files sss
在sssd.conf中:
[sssd]
config_file_version = 2
services = nss, pam, sudo
enumerate = true
domains = LDAP
[nss]
filter_users = root,ldap,named,avahi,haldaemon,dbus,radiusd,news,nscd
filter_groups = root,bin,daemon,sys,adm,disk,wheel
[pam]
[domain/LDAP]
#debug_level = 9
id_provider = ldap
auth_provider = ldap
chpass_provider = ldap
access_provider = ldap
sudo_provider = ldap
ldap_schema = rfc2307bis
ldap_uri = ldap://localhost
ldap_chpass_uri = ldap://localhost
ldap_id_uri = ldap://localhost
ldap_auth_uri = ldap://localhost
ldap_search_base = dc=domain,dc=com
ldap_user_search_base = ou=people,dc=domain,dc=com
ldap_group_search_base = ou=groups,dc=domain,dc=com
ldap_access_filter = (groupMembership=cn=shell,ou=groups,dc=domain,dc=com)
enumerate = true
ldap_enumeration_refresh_timeout=60
cache_credentials = False
entry_cache_timeout = 60
ldap_network_timeout = 3
系统产生以下结果:
id ttest
uid=10000(ttest) gid=501(shell) группы=501(shell)
getent group core
core:*:10000:
在LDAP用户中,ttest具有主组'shell',并且也包含在'core'组中。 以下是来自LDAP数据库的查询:
ldapsearch -x -b 'ou=people,dc=domain,dc=com' '(objectclass=*)'
# extended LDIF
#
# LDAPv3
# base with scope subtree
# filter: (objectclass=*)
# requesting: ALL
#
# people, domain.com
dn: ou=people,dc=domain,dc=com
ou: people
objectClass: top
objectClass: organizationalUnit
# core, groups, domain.com
dn: cn=core,ou=groups,dc=domain,dc=com
objectClass: posixGroup
gidNumber: 10000
memberUid: ttest
cn: core
请告知我应该在配置中检查/执行哪些操作,以便系统能够像'id'等常规用户的辅助组一样查看'核心'组。
谢谢!
答案 0 :(得分:0)
解决方案非常简单。这完全是因为我的疏忽......
我使用了&rffc2307bis' sssd配置中的架构,而需要使用' rfc2307'。
这就是为什么团体没有被列入休息的原因。
感谢所有在这个问题上花了一些时间的人。