У меня есть набор серверов, которые мне нужно пройти аутентификацию в центральном лесу Active Directory. Администраторы AD любезно установили расширения AD UNIX и NIS, так что у меня есть много атрибутов LDAP, с которыми можно работать.
Привязки с аутентификацией работают, как и логины пользователей. Единственное, что мне не хватает, - это волшебный соус для правильной работы перечислений групп.
Есть ли у кого-нибудь особые /etc/ldap.conf или, возможно, магия PAM, которую я мог бы использовать, чтобы группы работали правильно?
А именно:
[root@hostname ~]# groups username
id: cannot find name for group ID 1768498755
[root@hostname ~]#
(ID - это группа по умолчанию, указанная через gidNumber.)
Спасибо!
Добавьте в /etc/nsswitch.conf:
(если нужно:
passwd: files sss
group: files sss
)
Установите sssd и настройте его для поиска подходящего места (/etc/sssd/sssd.conf):
[sssd]
domains = LDAP
[domains/LDAP]
ldap_schema = rfc2307bis
id_provider = ldap
auth_provider = ldap
ldap_uri = ldap://localhost
ldap_search_base = ou=users,o=company
ldap_user_search_base = ou=users,o=company
ldap_group_search_base = ou=groups,o=company
ldap_tls_reqcert = allow
cache_credentials = true
enumerate = true
min_id = 1
Попробуйте добавить к вам следующее /etc/ldap.conf:
nss_base_group ou=your,o=base
и убедитесь, что вы также заглянули в ldap для сопоставления gid. В /etc/nsswitch.conf должен содержать что-то вроде:
group: files ldap