У меня проблема с аутентификацией через LDAP с компьютера CentOS 7 на Windows Server 2012 R2 DC через SSSD.
Linux WS100 3.10.0-957.10.1.el7.x86_64 #1 SMP Mon Mar 18 15:06:45 UTC 2019 x86_64 x86_64 x86_64 GNU/Linux
ldapsearch может без проблем запрашивать каталог через простой LDAP.
ldapsearch -x -h dc.company.local -D "cn=some user,cn=users,dc=company,dc=local" -w thePassword -b "cn=users,dc=company,dc=local" -s sub "(cn=*)" cn mail sn
И вот шаги, сделанные для настройки SSSD для этой цели.
yum install sssd sssd-client
authconfig --enablesssd --enablesssdauth --ldapserver=dc.company.local --ldapbasedn="cn=users,dc=company,dc=local" --update
/etc/nsswitch.conf содержит записи для sss
passwd: files sss
shadow: files sss
group: files sss
И /etc/sssd/sssd.conf настраивается так:
[sssd]
domains = company.local
config_file_version = 2
services = nss, pam
[domain/company.local]
id_provider = ldap
auth_provider = ldap
ldap_schema = ad
ldap_uri = ldap://dc.company.local
ldap_search_base = cn=users,dc=company,dc=local
ldap_default_bind_dn = cn=some user,cn=users,dc=company,dc=local
ldap_default_authtok_type = password
ldap_default_authtok = thePassword
override_homedir = /home/%u
Но su - username ни су - username@company.local не работает. Существуют сетевые транзакции с контроллером домена, проверенные tcpdump, но я полагаю, что учетные данные неправильно отформатированы для схемы, которую я использую (ad).
Я попытался очистить кеш SSSD и перезапустить демон, без разницы. Я не нашел связанных сообщений в /var/log/secure, и /var/log/sssd/ журналы не указывают на неправильную конфигурацию.
Кто-нибудь может мне помочь? Сталкивались ли вы с подобной проблемой или можете предложить другое решение, выполнимое в аналогичной настройке?
Спасибо!
Вам, вероятно, следует использовать id_provider = ad скорее, чем ldap это то, что я использую в своей конфигурации SSSD против AD. auth_provider по умолчанию имеет то же значение, что и id_provider так что вы можете опустить это и использовать ad бэкэнд подразумевает ldap_schema = ad слишком.