Назад | Перейти на главную страницу

Аутентификация клиента LDAP с использованием SSSD: проблема с группами

Мне удалось настроить сервер 389 LDAP и аутентификацию клиента SSSD. Однако всякий раз, когда я вхожу в систему с помощью пользователя ldap, после каждого входа в систему отображается ошибка

ttt@dsl's password: 
Last login: Thu Dec  6 12:52:06 2012
id: cannot find name for group ID 6006

Я пробовал с несколькими разными пользователями и разными типами. Я использую Centos 6 как на стороне сервера, так и на стороне клиента. getent shadow не возвращает пользователей ldap, и этот запрос функции был отклонен Redhat.https://bugzilla.redhat.com/show_bug.cgi?id=751291.

Или мне следует вернуться к nss_ldap / pam_ldap, но я могу не получить кеширование паролей, которое обеспечивает sssd.

Обновить:

root@dsl etc]# cat /etc/sssd/sssd.conf 
[domain/default]
ldap_tls_reqcert = never
ldap_id_use_start_tls = True
cache_credentials = True
ldap_search_base = dc=ma,dc=net
#krb5_realm = EXAMPLE.COM
#krb5_server = kerberos.example.com
ldap_group_member = uniquemember
id_provider = ldap
auth_provider = ldap
chpass_provider = ldap
ldap_uri = ldaps://ldap.ma.net
ldap_tls_cacertdir = /etc/openldap/cacerts
krb5_realm = EXAMPLE.COM
krb5_server = kerberos.example.com
enumerate = false
[sssd]
services = nss, pam
config_file_version = 2

#domains = LDAP
domains = 
[nss]
filter_users = root,ldap,named,avahi,haldaemon,dbus,radiusd,news,nscd
[pam]
reconnection_retries = 3
offline_credentials_expiration = 2
offline_failed_login_attempts = 3
offline_failed_login_delay = 5
[sudo]

[autofs]

[ssh]

[root@dsl etc]# 

После входа в систему в качестве пользователя я могу успешно выполнить команду id, все еще не понимая, почему она всегда говорит об отсутствии такой группы.

[root@ldap02 ~]# ssh ttt@dsl
ttt@dsl's password: 
Last login: Thu Dec  6 13:18:16 2012 from 10.2.3.69
id: cannot find name for group ID 6006
[ttt@dsl ~]$ id ttt
uid=6006(ttt) gid=6006 groups=6006

Также

[root@dsl ~]# groups ttt
ttt : groups: cannot find name for group ID 6006
6006
[root@dsl ~]# groups ttt

Наконец я смог решить это. Эта статья мне очень помогли.

Вот что я сделал. На стороне SSSD все было настроено нормально, однако на стороне LDAP я не настраивал. Чтобы пользователи Unix (пользователи posix) работали правильно, мы должны создать группы posix и назначить соответствующие значения.

Для каждого пользователя, помимо присвоения идентификатора группы posix и идентификатора пользователя, вам также необходимо присоединить их к группе posix. Вы также можете добавить это из консоли администратора 389. При создании группы просто нажмите на раздел «posix group». Или из командной строки используйте Эта статья