Я использую сервер 389DS LDAPS (с самоподписанными сертификатами) на удаленном компьютере с Fedora 30 под названием «miservidor.midominio.local». Там у меня есть типичный каталог, содержащий записи пользователей и групп.
Я могу получить данные каталога с другой машины Fedora 30 (клиентской) без каких-либо проблем. Например, выполнение этой команды («usu1ldap» - это имя пользователя, находящегося внутри организационной единицы «usuarios») ...:
LDAPTLS_REQCERT = никогда ldapsearch -H ldaps: //miservidor.midominio.local -b "dc = midominio, dc = local" uid = usu1ldap
...Я получил:
Но я хочу войти на клиентскую машину с помощью «usu1ldap». Итак, я настроил файл /etc/sssd/sssd.conf на клиентской машине следующим образом ...:
... я казнил sudo authselect выбрать sssd для «автоматической» настройки фреймворков NSS / PAM и, наконец, я перезапустил службу sssd.
Однако что-то не работает: getent passwd не показывает пользователя "usu1ldap" и, очевидно, id usu1ldap также получает "неизвестного пользователя"
Что я делаю не так? Я попытался понять файлы журнала sssd, но без понятия. Я немного в отчаянии ...
Спасибо за терпение.
ПРИМЕЧАНИЕ. Обратите внимание, что в файле sssd.conf мне пришлось назначить имя и пароль диспетчера каталогов строкам «ldap_default_bind_dn» и «ldap_default_authtok» соответственно, потому что мой сервер 389DS по умолчанию не разрешает анонимные запросы, и я не знаю как это изменить (пока).
Что ж, я решил проблему: я забыл добавить строку services = nss, pam в файл «/etc/sssd/sssd.conf» (ниже раздела [sssd]. Вот и все. О боже… Я думал, что systemd может все равно этого (см. https://docs.pagure.org/SSSD.sssd/design_pages/systemd_activatable_responders.html), но похоже, что это не так.
Чтобы узнать всю историю до этого (счастливого) конца, вы можете прочитать этот полный пост: https://ask.fedoraproject.org/t/cant-authenticate-against-a-389ds-server-i-suspect-its-a-sssd-problem-on-the-client-side/3347
Спасибо, в любом случае