У меня есть существующий набор серверов Centos 5.4, которые ограничивают вход в систему на основании того, что я являюсь уникальным членом группы vizusers ldap. Пользователи могут быть непосредственным уникальным членом группы или быть членом группы, которая является уникальным членом vizusers.
Я пытаюсь реализовать этот же метод в Centos 6.4. Сервер ldap находится в закрытой сети и не поддерживает SSL или TLS, поэтому использование sssd невозможно. С помощью pam_ldap и nslcd необходимо.
Пользователи, которые являются прямыми уникальными членами, разрешаются правильно, о чем свидетельствует "имя пользователя группы", возвращающее визопользователей в качестве вторичной группы. Пользователи, которые должны унаследовать эту группу, возвращают только свою основную группу.
pam_ldap.conf, ldap.conf и nslcd.conf не отличаются от рабочей конфигурации на хостах Centos 5.4.
ldapsearch of vizusers возвращает всех пользователей и группы, которые являются уникальными участниками. Последующий поиск подгрупп правильно возвращает ожидаемых пользователей.
Что мне не хватает?
В соответствии с ответ stackexchange не существует такого понятия, как "вложенные группы linux".
Итак, поведение Centos 6.4 вполне ожидаемо.
Как это работало на Centos 5.4 - загадка.
Примечание: на мой взгляд sssd может нормально работать с привязкой LDAP с открытым текстом.