Аутентификация LDAP с обновлением до CentOS 6.4 (sssd)

У меня есть сервер OpenLDAP:

@(#) $OpenLDAP: slapd 2.4.23 (Aug 8 2012 16:29:21) 

В моей конфигурации есть группа:

 ldapsearch -x -b 'cn=groupname,ou=UnixShell,ou=Services,o=example,c=ru' # extended LDIF # # LDAPv3 # base <cn=groupname,ou=UnixShell,ou=Services,o=example,c=ru> with scope subtree # filter: (objectclass=*) # requesting: ALL # # groupname, UnixShell, Services, example, ru dn: cn=groupname,ou=UnixShell,ou=Services,o=example,c=ru cn: groupname objectClass: groupOfUniqueNames objectClass: top uniqueMember: cn=Name Second,ou=Sysadmins,ou=SoftwareDevelopment,ou=IT,ou=Accounts,o=example,c=ru # search result search: 2 result: 0 Success 

И пользователь

 # ldapsearch -x -b 'cn=Name Second,ou=Sysadmins,ou=SoftwareDevelopment,ou=IT,ou=Accounts,o=example,c=ru' # extended LDIF # # LDAPv3 # base <cn=Name Second,ou=Sysadmins,ou=SoftwareDevelopment,ou=IT,ou=Accounts,o=example,c=ru> with scope subtree # filter: (objectclass=*) # requesting: ALL # # Name Second, Sysadmins, SoftwareDevelopment, IT, Accounts, example, ru dn: cn=Name Second,ou=Sysadmins,ou=SoftwareDevelopment,ou=IT,ou=Accounts,o= example,c=ru homeDirectory: /home/user loginShell: /bin/bash objectClass: person objectClass: organizationalPerson objectClass: inetOrgPerson objectClass: posixAccount objectClass: top objectClass: shadowAccount shadowLastChange: 15361 shadowMax: 99999 shadowMin: 0 shadowWarning: 7 uid: user uidNumber: 7000 cn: Name Second gidNumber: 702 # search result search: 2 result: 0 Success # numResponses: 2 # numEntries: 1 

Долгое время я использовал аутентификацию LDAP на своих клиентских серверах (CentOS 6. *), но в одно время, когда обновление до ветки 6.4, моя конфигурация сломалась. Потому что теперь по умолчанию используется система SSSD.

В pam_ldap было

 pam_groupdn cn=groupname,ou=UnixShell,ou=Services,o=example,c=ru pam_member_attribute uniquemember 

Но теперь в sssd.conf фильтр не работает

 access_provider = ldap ldap_access_filter = memberOf=cn=groupname,ou=UnixShell,ou=Services,o=example,c=ru 

Что я делаю не так? Мои записи не могут найти, когда я вхожу в систему через ssh. Работает локально «su – user».

Ошибка в журнале sssd

 (Thu Mar 28 12:44:43 2013) [sssd[be[default]]] [sdap_access_filter_get_access_done] (0x0100): User [user] was not found with the specified filter. Denying access. 

Я использую его для настроек:

 authconfig --enablemkhomedir --updateall --enablesssd --enablesssdauth --enableldap --enableldapauth --disablenis --disablekrb5 --disablecachecreds --disablecache --ldaploadcacert=$certurl" 

Версия CentOS 6.4 (Final)

!!! Не меняйте ничего вручную, только системные утилиты !!!

 # cat /etc/sssd/sssd.conf [domain/default] ldap_uri = ldaps://ldap02.example.ru ldap_tls_cacertdir = /etc/openldap/cacerts ldap_id_use_start_tls = True cache_credentials = False ldap_search_base = o=example,c=ru krb5_realm = EXAMPLE.COM krb5_server = kerberos.example.com id_provider = ldap auth_provider = ldap chpass_provider = ldap access_provider = ldap ldap_access_filter = uniqueMember=cn=grouname,ou=UnixShell,ou=Services,o=example,c=ru debug_level = 255 auth_provider = ldap chpass_provider = ldap [sssd] services = nss, pam config_file_version = 2 domains = default [nss] [pam] [sudo] [autofs] [ssh] [pac] по # cat /etc/sssd/sssd.conf [domain/default] ldap_uri = ldaps://ldap02.example.ru ldap_tls_cacertdir = /etc/openldap/cacerts ldap_id_use_start_tls = True cache_credentials = False ldap_search_base = o=example,c=ru krb5_realm = EXAMPLE.COM krb5_server = kerberos.example.com id_provider = ldap auth_provider = ldap chpass_provider = ldap access_provider = ldap ldap_access_filter = uniqueMember=cn=grouname,ou=UnixShell,ou=Services,o=example,c=ru debug_level = 255 auth_provider = ldap chpass_provider = ldap [sssd] services = nss, pam config_file_version = 2 domains = default [nss] [pam] [sudo] [autofs] [ssh] [pac] 

One Solution collect form web for “Аутентификация LDAP с обновлением до CentOS 6.4 (sssd)”

Я долго задерживался на этом. Похоже, что для CentOS6 они изменили файл конфигурации из /etc/openldap/ldap.conf на /etc/pam_ldap.conf . pam_groupdn будет работать, если вы разместите свою информацию там.

 $ cp /etc/openldap/ldap.conf /etc/pam_ldap.conf 

Или вы могли бы создать символическую связь между ними.

  • Конфигурация сервера IPA: нельзя использовать IP-адрес сети
  • Попытка установить кластер, DHCP не запускается
  • Список SSSD разрешил пользователям
  • Аутентификация пользователей через LDAP с использованием nginx
  • Запретить изменение пароля root в ldap - debian
  • Можно ли настроить централизованно настроенные сценарии входа в Linux?
  • Как фильтровать членство в группе с сервера ldap?
  • Изменение пароля LDAP с помощью HTTPS
  • группа getent работает, но sshd_config allowgroups не извлекает соответствующую группу
  • Как запретить использование корневой учетной записи LDAP
  • Перенос LDAP с одной машины на другую
  • smd5 - генерировать с помощью инструмента unix или perl
  • Linux и Unix - лучшая ОС в мире.