Authentication
使用 SSSD 將系統使用者添加到 LDAP 組
我們的 LDAP 伺服器正在執行 RFC 2307 組(
memberuid包含使用者名,而不是 DN)。使用我們舊的nscd//設置nss_ldap,您可以在 LDAP 組的屬性中pam_ldap列出非 LDAP 使用者(來自 的系統使用者) ,並且該系統使用者將成為該組的成員。/etc/passwd``memberuid但是,在我升級到SSSD的機器上,這不再有效:SSSD 只是從成員列表中刪除了非 LDAP 使用者。
我已經通過以使用者身份登錄並使用
id並執行.getent group *group*這是我的
sssd.conf(一些細節已被編輯並清楚地標記為這樣)[sssd] config_file_version = 2 services = nss, pam domains = REDACTED.net [nss] # defaults are OK [pam] # defaults are OK [domain/REDACTED.net] enumerate = true id_provider = ldap auth_provider = ldap access_provider = ldap chpass_provider = ldap ldap_uri = _srv_ ldap_chpass_uri = ldap://haruhi.REDACTED.net ldap_search_base = dc=REDACTED,dc=net?subtree? ldap_schema = rfc2307 ldap_tls_cacert = /usr/local/share/ca-certificates/REDACTED-CA.crt ldap_id_use_start_tls = true ldap_pwd_policy = shadow ldap_access_filter = memberOf=cn=UNIX Users,ou=Policies,dc=REDACTED,dc=net ldap_access_order = filter, authorized_service, host ldap_default_bind_dn = uid=haruhi,ou=Machines,dc=REDACTED,dc=net ldap_default_authtok = VERY_REDACTED
/etc/nsswitch.conf對 passwd/group/shadow 有無聊的條目:passwd: compat ldap sss group: compat ldap sss shadow: compat sss(ldap 仍然在那裡,但它實際上並沒有安裝在系統上)
另外,我懷疑它是否重要(因為我在其他機器上看到了相同的行為)但是這台機器——Haruhi——也是主 LDAP 伺服器,執行 OpenLDAP。
如何將 SSSD 配置為不從 LDAP 組中剔除系統使用者?
這是在 sssd 1.9.5 中啟用的,通過將 sssd.conf 設置為包括:
ldap_rfc2307_fallback_to_local_users = true