Получите Sudoers через LDAP. (SUSE Linux Enterprise Server 12)

У меня проблема с моей настройкой LDAP на SUSE Linux Enterprise Server 12.

Как многие из вас знают, ldap.conf был заменен на sssd.conf и пару других файлов conf, таких как nsswitch.conf.

И есть мой вопрос: я хочу получить аутентификацию через ldap, которые включают пользователей определенного подразделения. Мне также нужно получить определение для sudoers через ldap. Я еще никогда не работал с sssd.

Моя текущая конфигурация nss выглядит следующим образом:

passwd: files ldap shadow: files ldap group: files ldap hosts: files dns networks: files services: files protocols: files rpc: files ethers: files netmasks: files netgroup: files nis publickey: files bootparams: files automount: files nis aliases: files passwd_compat: files group_compat: files sudoers: ldap files [I added this line] 

И вот мой sssd.conf:

 [sssd] config_file_version = 2 services = nss, pam domains = ***** sbus_timeout = 30 [nss] filter_users = root filter_groups = root reconnection_retries = 3 entry_cache_timeout = 300 entry_cache_nowait_percentage = 75 [pam] [domain/GuH] id_provider = ldap auth_provider = ldap ldap_schema = rfc2307bis ldap_user_object_class = posixAccount debug_level = 20 #access_provider = ldap ldap_uri = ldap://******.de ldap_search_base = o=*** create_homedir = truei ldap_tls_cacert = /etc/sssd/certs/*******.pem ldap_tls_cacertdir = /etc/sssd/certs ldap_id_use_start_tls = true ldap_default_bind_dn = cn=********,o=guh ldap_default_authtok_type = ******* ldap_default_authtok = ********* ldap_user_member_of = ********* ldap_group_name = cn=*******,ou=*******,ou=******,o=****** 

Просто предположите, что * введены правильно.

Кроме того, есть ли что-нибудь сделать в конфигурационном файле PAM, потому что ive не видел кого-то, кто его еще не заметил.

Если вам нужна дополнительная информация, я более чем счастлив предоставить ее вам.

Это прохождение помогло мне в Ubuntu 14.04. Кроме того, страница Redhat, на которую ссылаются в комментариях, больше не ссылается на authconfig . Основные моменты:

  • Если ваш LDAP не включает один, импортируйте схему sudoers (например, schema.ActiveDirectory требуется Active Directory)
  • Создайте правила, следующие за man-страницей sudoers-ldap (в Active Directory с помощью инструмента, такого как ADSI Edit)
  • Обновите etc/nsswitch.conf чтобы включить sss среди sudoers =
  • Обновите etc/sssd/sssd.conf чтобы включить:
    • sudo среди services =
    • sudo_provider = (в моем случае ad для Active Directory, но возможно ldap )
    • пустой [sudo] раздел (никаких конфигураций не требуется, но Redhat утверждает, что это вызывает правильную конфигурацию поддержки sudo)

Многие люди сталкиваются с проблемами из-за ошибок в разных частях стека, поэтому см. Этот ответ и этот вопрос, если у вас есть какие-либо проблемы. FWIW, эти инструкции доставили мне достаточно отладочную информацию, чтобы подтвердить, что правила текут полностью до sudo, а именно:

  • Добавьте в /etc/sudo.conf следующие строки:

     Debug sudo /var/log/sudo_debug.log all@debug Debug sudoers.so /var/log/sudo_debug.log all@debug 
  • Запустите команду sudo в качестве пользователя, который вы хотите отлаживать.