Пользователь LDAP не существует при запуске 'su'

Я пытаюсь настроить LDAP-аутентификацию в соответствии с инструкциями в книге RHCS / RHCE Sander Van Vugt для RHEL7. В главе 6 он объясняет, что при использовании authconfig-tui FORCELEGACY параметр FORCELEGACY установлен в yes в /etc/sysconfig/authconfig . Предполагается, что вместо sssd будет настроен sssd .

Я этого не вижу. Возможно, это было в 7.0 или даже 7.1, но в 7.3 после использования authconfig-tui опция не установлена.

Если я отложил nslcd vs nslcd и sssd выполнить упражнение, которое приводит к запуску su - lara для аутентификации через LDAP для указанного пользователя, я просто получаю:

 su: user lara does not exist 

Я проверил, что сервер FreeIPA отвечает на запросы, используя ldapsearch и при этом подтвердил, что пользователь находится в LDAP. Мне кажется, однако, что su не аутентифицируется в отношении LDAP, а вместо этого /etc/passwd .

Моя конфигурация PAM system-auth включает в sssd записи sssd которые кажутся необходимыми:

 auth sufficient pam_sss.so forward_pass account [default=bad success=ok user_unknown=ignore] pam.sss.so password sufficient pam_sss.so use_authtok session optional pam_sss.so 

Мой файл /etc/nsswitch.conf содержит:

 passwd: files sss shadow: files sss group: files sss 

Служба sssd активна.

В /var/log/* или /var/log/sssd/* нет записей в /var/log/* . На самом деле ни один из журналов sssd содержит ничего.

РЕДАКТИРОВАТЬ

После некоторого чтения я все еще не ближе к решению этого вопроса, однако у меня есть больше информации.

Я могу аутентифицироваться как пользователь lara, если я ssh на сервер LDAP. Поэтому я знаю, что LDAP фактически работает.

Я также посмотрел конфигурацию PAM для su . Это потянет файл system-auth :

 auth substack system-auth account include system-auth password include system-auth session include system-auth 

поэтому он должен использовать модуль pam_sss.so неявно.

Тем не менее, он не может разобраться.

EDIT 2

Будучи в состоянии войти в IPA-сервер либо локально, либо через SSH с помощью пользователя lara, я решил сравнить файлы pam с ним на клиентах. Единственное различие, которое я смог определить, заключается в том, что клиент содержал broken_shadow с записью учетной записи pam_unix.so . Я удалил его и даже перезагрузил, но ничего не исправить.

Как отключить broken_shadow ? Я ничего не могу с этим поделать.

  • sssd-ad в wheezy
  • sssd / ad no ssh login после миграции debian 8 => 9: Доступ запрещен для пользователя xxx: 4 (системная ошибка)
  • Заменять локальные значения sudo по умолчанию с помощью sss или ldap
  • Тип токена аутентификации не поддерживается
  • Клонирующие машины подключены к домену с использованием SSSD
  • sssd realm открыть: не разрешено выполнять это действие
  • Получите Sudoers через LDAP. (SUSE Linux Enterprise Server 12)
  • Сервер SSSD как централизованная аутентификация
  • One Solution collect form web for “Пользователь LDAP не существует при запуске 'su'”

    Это может быть несвязано, но я следую тому же курсу (с клиентским сервером моего создания) и смог его исправить, выполнив следующие действия:

    1. Проверка всех соответствовала тому, что я установил в authconfig-tui в файле /etc/sssd/sssd.conf
    2. Установка разрешений на /etc/sssd/sssd.conf на 0600 (это сработало сразу после этого). Я не уверен, почему это имело значение, учитывая, что он предоставляет только пользовательские R / W, но я нашел его в руководстве Oracle для конфигурации клиента RHEL7 SSSD: https://docs.oracle.com/cd/E52668_01/E54669/html/ol7-sssd-ldap.html

    Надеюсь, это поможет, если вы еще не отсортировали его!

    EDIT: Возможное объяснение: https://pagure.io/SSSD/sssd/issue/1413

    Interesting Posts
    Linux и Unix - лучшая ОС в мире.