Sander Van Vugt의 RHEL7용 RHCSA/RHCE 책의 지침에 따라 LDAP 인증을 설정하려고 합니다. 6장에서는 authconfig-tui이 FORCELEGACY옵션을 사용할 때 로 설정하라고 yes설명 합니다 /etc/sysconfig/authconfig. nslcd대신 이 항목을 구성해야 합니다 sssd.
나는 이것이 일어날 것이라고 생각하지 않습니다. 7.0이나 7.1에서도 그럴 수도 있지만 7.3에서는 옵션이 noafter using 으로 설정되어 있습니다 authconfig-tui.
nslcdVS sssd혼란을 제쳐두고 연습을 완료하고 LDAP를 통해 해당 사용자를 인증하려고 하면 su - lara다음과 같은 결과만 얻을 수 있습니다.
su: user lara does not exist
FreeIPA 서버가 쿼리에 응답하는 데 사용되고 있음을 확인했으며, ldapsearch이를 통해 사용자가 LDAP에 있음을 확인했습니다. 그러나 이것은 suLDAP에 대한 인증이 아니라 /etc/passwd.
내 PAM system-auth구성에는 sssd필요한 항목이 포함되어 있습니다.
auth sufficient pam_sss.so forward_pass
account [default=bad success=ok user_unknown=ignore] pam.sss.so
password sufficient pam_sss.so use_authtok
session optional pam_sss.so
내 /etc/nsswitch.conf파일에는 다음이 포함됩니다.
passwd: files sss
shadow: files sss
group: files sss
서비스 sssd가 활성화되어 있습니다.
/var/log/*또는 에 로그 항목이 없습니다 /var/log/sssd/*. 실제로 sssd로그에는 아무것도 포함되어 있지 않습니다.
편집하다
좀 읽은 후에도 여전히 해결책을 찾지 못했지만 더 많은 정보가 있습니다.
sshLDAP 서버에 접속하면 lara라는 사용자로 인증이 가능합니다. 그래서 나는 LDAP가 실제로 작동하고 있다는 것을 알고 있습니다.
PAM나는 또한 구성을 보았다 su. 풀 system-auth파일은 다음과 같습니다.
auth substack system-auth
account include system-auth
password include system-auth
session include system-auth
pam_sss.so따라서 해당 모듈을 암시적으로 사용해야 합니다.
하지만 아직도 해결하지 못하고 있습니다.
편집 2
IPA 서버에 로컬로 로그인하거나 lara 사용자를 사용하여 SSH를 통해 로그인할 수 있었기 때문에 서버의 pam 파일과 클라이언트의 pam 파일을 비교하기로 결정했습니다. 제가 확인할 수 있는 유일한 차이점은 고객이 계정 항목 broken_shadow에 포함된다는 것입니다. pam_unix.so삭제하고 다시 시작해도 아무 것도 해결되지 않았습니다.
어떻게 비활성화합니까 broken_shadow? 관련 정보를 찾을 수 없습니다.
답변1
이것은 관련이 없을 수도 있지만 동일한 프로세스(내가 만든 클라이언트 서버 사용)를 따르고 다음을 수행하여 문제를 해결했습니다.
- /etc/sssd/sssd.conf의 authconfig-tui에 설정한 내용이 모두 일치하는지 확인하세요.
- /etc/sssd/sssd.conf에 대한 권한을 0600으로 설정합니다(이후 즉시 적용됨). 이것이 사용자에게 R/W만 부여하므로 이것이 왜 영향을 미치는지 잘 모르겠지만 RHEL7 SSSD 클라이언트에 대한 Oracle 가이드에서 찾았습니다. 구성:https://docs.oracle.com/cd/E52668_01/E54669/html/ol7-sssd-ldap.html
편집: 가능한 설명:https://pagure.io/SSSD/sssd/issue/1413