getent 組工作，但 sshd_config 允許組不檢索適當的組

我正在嘗試在 Debian Jessie 上使用 OpenLdap 自動化設置 Kerberos MIT 身份驗證。

身份驗證部分執行良好，因為我可以使用我的 kerberos 帳戶登錄 SSH。

我什至可以使用 pam_mkhomedir.so 創建使用者主目錄

但是，我不能使用 Ldap posixGroup 來允許訪問我的 SSH 伺服器：

這是輸出getent group

getent group | grep tupac
adminsLinux:*:3000:uid=tupac,ou=people,dc=maytacapac,dc=inc

這是 sshd_config 的摘錄：

AllowGroups adminsLinux

以下是日誌文件：

sshd[3305]: User tupac from a.b.c.d not allowed because not in any group
sshd[3305]: input_userauth_request: invalid user tupac [preauth]
sshd[3305]: Connection closed by a.b.c.d [preauth]

這是id tupac輸出

uid=20003(tupac) gid=20003 groups=20003

tupac 使用者不屬於任何 Unix 組，但我想允許基於 OpenLdap posixGroup 的訪問。我認為 /etc/nsswitch.conf 配置和 getent 組解析足以根據 posixGroups 授予訪問權限。

uid=tupac,ou=people,dc=maytacapac,dc=inc看起來不對，因為我見過的大多數（好吧，除了這個）LDAP 提供的組成員資格不包括 LDAP DN，而只是使用者名，所以我希望看到adminsLinux:*:3000:tupac.

引用自：https://unix.stackexchange.com/questions/278144