Аутентификация LDAP с обновлением до CentOS 6.4 (sssd)

У меня есть сервер OpenLDAP:

@(#) $OpenLDAP: slapd 2.4.23 (Aug 8 2012 16:29:21) 

В моей конфигурации есть группа:

 ldapsearch -x -b 'cn=groupname,ou=UnixShell,ou=Services,o=example,c=ru' # extended LDIF # # LDAPv3 # base <cn=groupname,ou=UnixShell,ou=Services,o=example,c=ru> with scope subtree # filter: (objectclass=*) # requesting: ALL # # groupname, UnixShell, Services, example, ru dn: cn=groupname,ou=UnixShell,ou=Services,o=example,c=ru cn: groupname objectClass: groupOfUniqueNames objectClass: top uniqueMember: cn=Name Second,ou=Sysadmins,ou=SoftwareDevelopment,ou=IT,ou=Accounts,o=example,c=ru # search result search: 2 result: 0 Success 

И пользователь

 # ldapsearch -x -b 'cn=Name Second,ou=Sysadmins,ou=SoftwareDevelopment,ou=IT,ou=Accounts,o=example,c=ru' # extended LDIF # # LDAPv3 # base <cn=Name Second,ou=Sysadmins,ou=SoftwareDevelopment,ou=IT,ou=Accounts,o=example,c=ru> with scope subtree # filter: (objectclass=*) # requesting: ALL # # Name Second, Sysadmins, SoftwareDevelopment, IT, Accounts, example, ru dn: cn=Name Second,ou=Sysadmins,ou=SoftwareDevelopment,ou=IT,ou=Accounts,o= example,c=ru homeDirectory: /home/user loginShell: /bin/bash objectClass: person objectClass: organizationalPerson objectClass: inetOrgPerson objectClass: posixAccount objectClass: top objectClass: shadowAccount shadowLastChange: 15361 shadowMax: 99999 shadowMin: 0 shadowWarning: 7 uid: user uidNumber: 7000 cn: Name Second gidNumber: 702 # search result search: 2 result: 0 Success # numResponses: 2 # numEntries: 1 

Долгое время я использовал аутентификацию LDAP на своих клиентских серверах (CentOS 6. *), но в одно время, когда обновление до ветки 6.4, моя конфигурация сломалась. Потому что теперь по умолчанию используется система SSSD.

В pam_ldap было

 pam_groupdn cn=groupname,ou=UnixShell,ou=Services,o=example,c=ru pam_member_attribute uniquemember 

Но теперь в sssd.conf фильтр не работает

 access_provider = ldap ldap_access_filter = memberOf=cn=groupname,ou=UnixShell,ou=Services,o=example,c=ru 

Что я делаю не так? Мои записи не могут найти, когда я вхожу в систему через ssh. Работает локально «su – user».

Ошибка в журнале sssd

 (Thu Mar 28 12:44:43 2013) [sssd[be[default]]] [sdap_access_filter_get_access_done] (0x0100): User [user] was not found with the specified filter. Denying access. 

Я использую его для настроек:

 authconfig --enablemkhomedir --updateall --enablesssd --enablesssdauth --enableldap --enableldapauth --disablenis --disablekrb5 --disablecachecreds --disablecache --ldaploadcacert=$certurl" 

Версия CentOS 6.4 (Final)

!!! Не меняйте ничего вручную, только системные утилиты !!!

 # cat /etc/sssd/sssd.conf [domain/default] ldap_uri = ldaps://ldap02.example.ru ldap_tls_cacertdir = /etc/openldap/cacerts ldap_id_use_start_tls = True cache_credentials = False ldap_search_base = o=example,c=ru krb5_realm = EXAMPLE.COM krb5_server = kerberos.example.com id_provider = ldap auth_provider = ldap chpass_provider = ldap access_provider = ldap ldap_access_filter = uniqueMember=cn=grouname,ou=UnixShell,ou=Services,o=example,c=ru debug_level = 255 auth_provider = ldap chpass_provider = ldap [sssd] services = nss, pam config_file_version = 2 domains = default [nss] [pam] [sudo] [autofs] [ssh] [pac] по # cat /etc/sssd/sssd.conf [domain/default] ldap_uri = ldaps://ldap02.example.ru ldap_tls_cacertdir = /etc/openldap/cacerts ldap_id_use_start_tls = True cache_credentials = False ldap_search_base = o=example,c=ru krb5_realm = EXAMPLE.COM krb5_server = kerberos.example.com id_provider = ldap auth_provider = ldap chpass_provider = ldap access_provider = ldap ldap_access_filter = uniqueMember=cn=grouname,ou=UnixShell,ou=Services,o=example,c=ru debug_level = 255 auth_provider = ldap chpass_provider = ldap [sssd] services = nss, pam config_file_version = 2 domains = default [nss] [pam] [sudo] [autofs] [ssh] [pac] 

  • Отсутствует файл конфигурации для SSSD?
  • LDAP на openSUSE
  • Linux решение для школ?
  • Заменять локальные значения sudo по умолчанию с помощью sss или ldap
  • Изменение оболочки входа по умолчанию в / bin / bash для ВСЕХ пользователей ldap с сервера LDAP - не клиент
  • Что случилось с моей интеграцией AD / LDAP?
  • samba с OpenLDAP - NT_STATUS_NO_SUCH_USER
  • Пароли Samba истекают через x дней - как мы их исправим, чтобы не истечь
  • One Solution collect form web for “Аутентификация LDAP с обновлением до CentOS 6.4 (sssd)”

    Я долго задерживался на этом. Похоже, что для CentOS6 они изменили файл конфигурации из /etc/openldap/ldap.conf на /etc/pam_ldap.conf . pam_groupdn будет работать, если вы разместите свою информацию там.

     $ cp /etc/openldap/ldap.conf /etc/pam_ldap.conf 

    Или вы могли бы создать символическую связь между ними.

    Linux и Unix - лучшая ОС в мире.