Назад | Перейти на главную страницу

ldapsearch работает для ldaps, но getent passwd 'user' ничего не возвращает на минимальном сервере openldap Centos 7

Я установил openldap на centos 7 минимум и успешно добавил пользователя newuser01 в базу данных. ldapsearch отлично работает как с мастером, так и с клиентом, используя этот формат:
ldapsearch -H ldaps://provider.example.com -x -D "cn=Manager,dc=example,dc=com" -W

Но getent passwd -s sss newuser01 или getent passwd newuer01 ничего не возвращает ни на клиенте, ни на мастере.

Вот файлы, которые я просмотрел, я не уверен, правильно ли они настроены, и если есть другие, на которые мне стоит взглянуть, большое спасибо за ваши усилия:

/etc/nsswitch.conf /etc/openldap/ldap.conf
/etc/sssd/sssd.conf
/etc/openldap/slapd.conf # Он устарел для centos 7
/etc/pam.d/system-auth

На Мастере:

/etc/nsswitch.conf содержит:

passwd:     files sss
shadow:     files sss
group:      files sss
hosts:      files dns 
bootparams: nisplus [NOTFOUND=return] files
ethers:     files
netmasks:   files
networks:   files
protocols:  files
rpc:        files
services:   files sss
netgroup:   files sss
publickey:  nisplus
automount:  files
aliases:    files nisplus

/etc/openldap/ldap.conf содержит:

BASE            dc=example,dc=com
URI             ldaps://provider.example.com
TLS_CACERTDIR   /etc/openldap/certs
TLS_REQCERT     demand
SASL_NOCANON    on

/etc/sssd/sssd.conf пусто на сервере

/etc/pam.d/system-auth содержит:

auth        required      pam_env.so
auth        sufficient    pam_unix.so nullok try_first_pass
auth        requisite     pam_succeed_if.so uid >= 1000 quiet_success
auth        required      pam_deny.so
account     required      pam_unix.so
account     sufficient    pam_localuser.so
account     sufficient    pam_succeed_if.so uid < 1000 quiet
account     required      pam_permit.so
password    requisite     pam_pwquality.so try_first_pass local_users_only retry=3 authtok_type=
password    sufficient    pam_unix.so sha512 shadow nullok try_first_pass use_authtok
password    required      pam_deny.so
session     optional      pam_keyinit.so revoke
session     required      pam_limits.so
-session     optional      pam_systemd.so
session     [success=1 default=ignore] pam_succeed_if.so service in crond quiet use_uid
session     required      pam_unix.so

На клиенте:

/etc/nsswitch.conf содержит точно так же, как и сервер

/etc/openldap/ldap.conf содержит:

TLS_CACERTDIR /etc/openldap/cacerts
# Turning this off breaks GSSAPI used with krb5 when rdns = false
SASL_NOCANON    on
URI ldaps://provider.example.com:636
BASE dc=example,dc=com

/etc/sssd/sssd.conf содержит:

[domain/default]
autofs_provider = ldap
cache_credentials = False
ldap_search_base = dc=example,dc=com
krb5_server = #
id_provider = ldap
auth_provider = ldap
chpass_provider = ldap
ldap_uri = ldaps://provider.example.com:636
ldap_id_use_start_tls = False
ldap_tls_cacertdir = /etc/openldap/cacerts
[sssd]
services = nss, pam, autofs
config_file_version = 2
domains = default
[nss]
homedir_substring = /home
[pam]
[sudo]
[autofs]
[ssh]
[pac]
[ifp]

/etc/pam.d/system-auth похоже, содержит то, что сервер делает с этой дополнительной записью:

session     optional      pam_sss.so

openldap centos7

это работает для меня с использованием sssd-ldap против сервера freeipa ldap (не с использованием встроенного поставщика idm, а поставщика sssd-ldap по запросу).

установить sssd-ldap и authoconfig
бегать authconfig --enablesssd --enablesssdauth --enablelocauthorize --update
создайте файл конфигурации /etc/sssd/sssd.conf с соответствующей информацией:

[domain/default]

autofs_provider = ldap
ldap_schema = rfc2307bis
id_provider = ldap
auth_provider = ldap
chpass_provider = ldap
ldap_uri = ldap://your.ldap.host
ldap_id_use_start_tls = True
cache_credentials = True
ldap_tls_cacertdir = /etc/pki/tls/certs
ldap_tls_cacert = /etc/pki/tls/certs/ca-bundle.crt
ldap_default_bind_dn = uid=user1,cn=users,cn=accounts,dc=your,dc=domain,dc=tld
ldap_default_authtok_type = password
ldap_default_authtok = secretpassword
ldap_user_search_base = cn=users,cn=accounts,dc=your,dc=domain,dc=tld
ldap_group_search_base = cn=groups,cn=accounts,dc=your,dc=domain,dc=tld

[sssd]
services = nss, pam, autofs
config_file_version = 2

domains = default
[nss]
homedir_substring = /home

[pam]

[sudo]

[autofs]

[ssh]

[pac]

[ifp]

перезапустите службу sssd: systemctl restart sssd
убедитесь, что sss включен в nsswitch.conf для passwd, групп и тени. Не используйте ldap в nsswitch.conf, это должны быть «файлы sss», а не «файлы ldap»

Если вам не нужна привязка для получения списка пользователей, удалите директивы ldap_default_bind_dn, ldap_default_authtok_type и ldap_default_authtok. Если вам не требуется tls, удалите их, но вы аутентифицируете пользователей, поэтому его следует включить. Измените пути к директивам cacertdir и cacert в соответствии с вашей ситуацией в качестве базы поиска пользователя и группы.

В этом блоге: http://www.couyon.net/blog/enpting-ldap-usergroup-support-and-authentication-in-centos-6 вы найдете похожее руководство. Официальная документация Red Hat находится здесь: https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/7/html/System-Level_Authentication_Guide/Configuring_Domains.html#Configuring_Domains-Configuring_a_Native_LDAP_Domain

Как всегда, доказательство в пудинге:

[root@localhost sssd]# grep user1 /etc/passwd
[root@localhost sssd]# getent passwd user1
user1:*:1076200004:1076200004:ipa user:/home/user1:/bin/sh