SSD를 사용하여 LDAP에 인증할 수 없습니다.

tag-icon tag-icon sftp ldap sssd
SSD를 사용하여 LDAP에 인증할 수 없습니다.

debianstretch와 sssd 1.15.0을 실행하는 도커 컨테이너가 있습니다.

SFTP 목적으로 사용하고 LDAPS를 통해 사용자를 인증하도록 계획하세요. 이 예의 LDAP 공급자는 LDAPS 기능을 제공하는 AADDS(Azure Active Directory Domain Services)입니다.

지금까지 나는 다음을 할 수 있었습니다:

  • 단순 바인딩이 성공적으로 실행되었습니다.
  • 포트 636을 "작동"으로 표시
  • 서버를 "실행 중"으로 표시
  • docker exec를 사용하여 컨테이너에 직접 로그인하고 성공적인 ldapsearch를 수행합니다(291개의 개체가 반환됨).

안타깝게도 LDAP 가상 사용자로 컨테이너에 ssh 또는 sftp를 연결할 수 없습니다.

두 가지 모두에 대한 디버그 출력을 포함하여 몇 가지 관련 정보는 다음과 같습니다.

  • 컨테이너 시작
  • 사용자가 로그인을 시도합니다.

나는 시도했다:

  • 바인딩 사용자 형식 변경
  • base_user OU 유무에 관계없이
  • URI에 포트 636 추가 여부
  • getent를 사용하여 SSD 인증 테스트(실패)(아무것도 반환하지 않음)
  • 전체 UPN 유무에 관계없이 사용자 이름 테스트(사용자 대 user@domain)

어떤 도움이라도 대단히 감사하겠습니다.

어떤 이유로 stackexchange가 이것이 스팸처럼 보인다고 생각하기 때문에 모든 파일을 표시하는 데 필요한 코드 블록을 추가할 수 없는 것 같아서 모든 세부 사항이 포함된 요점을 만들었습니다. 이 내용을 더 잘 표현할 수 있는 방법이 있으면 알려주시기 바랍니다.

https://gist.github.com/Lazarix/ed9792076680ead510220d6c8ebb8e6e

답변1

나는 이 문제를 해결했다고 믿는다. 특히 AADDS에 LDAP 공급자로 연결하는 컨텍스트에서 sssd.conf의 [domain/mydomain] 섹션에 다음 옵션이 누락되었습니다.

ldap_schema = 광고

관련 정보