Ldap
getent 組工作,但 sshd_config 允許組不檢索適當的組
我正在嘗試在 Debian Jessie 上使用 OpenLdap 自動化設置 Kerberos MIT 身份驗證。
身份驗證部分執行良好,因為我可以使用我的 kerberos 帳戶登錄 SSH。
我什至可以使用 pam_mkhomedir.so 創建使用者主目錄
但是,我不能使用 Ldap posixGroup 來允許訪問我的 SSH 伺服器:
這是輸出
getent group
getent group | grep tupac adminsLinux:*:3000:uid=tupac,ou=people,dc=maytacapac,dc=inc
這是 sshd_config 的摘錄:
AllowGroups adminsLinux
以下是日誌文件:
sshd[3305]: User tupac from a.b.c.d not allowed because not in any group sshd[3305]: input_userauth_request: invalid user tupac [preauth] sshd[3305]: Connection closed by a.b.c.d [preauth]
這是
id tupac
輸出uid=20003(tupac) gid=20003 groups=20003
tupac 使用者不屬於任何 Unix 組,但我想允許基於 OpenLdap posixGroup 的訪問。我認為 /etc/nsswitch.conf 配置和 getent 組解析足以根據 posixGroups 授予訪問權限。
uid=tupac,ou=people,dc=maytacapac,dc=inc
看起來不對,因為我見過的大多數(好吧,除了這個)LDAP 提供的組成員資格不包括 LDAP DN,而只是使用者名,所以我希望看到adminsLinux:*:3000:tupac
.