우리의 LDAP 서버는 RFC 2307 그룹( memberuid
DN이 아닌 사용자 이름 포함)을 실행하고 있습니다. // 이전 nscd
설정을 사용하면 LDAP 그룹 속성에 비LDAP 사용자(시스템 사용자)를 나열할 수 있었고 nss_ldap
시스템 pam_ldap
사용자는 그룹의 구성원이 되었습니다./etc/passwd
memberuid
그러나 내가 업그레이드한 컴퓨터에서는SSD, 이는 더 이상 작동하지 않습니다. SSSD는 단순히 구성원 목록에서 LDAP가 아닌 사용자를 제거합니다.
사용자로 로그인하고 사용 하고 실행하여 id
이 동작을 확인했습니다 .getent group group
여기 내 것이 있습니다 sssd.conf
(일부 세부 사항은 편집되고 명확하게 표시됨).
[sssd]
config_file_version = 2
services = nss, pam
domains = REDACTED.net
[nss]
# defaults are OK
[pam]
# defaults are OK
[domain/REDACTED.net]
enumerate = true
id_provider = ldap
auth_provider = ldap
access_provider = ldap
chpass_provider = ldap
ldap_uri = _srv_
ldap_chpass_uri = ldap://haruhi.REDACTED.net
ldap_search_base = dc=REDACTED,dc=net?subtree?
ldap_schema = rfc2307
ldap_tls_cacert = /usr/local/share/ca-certificates/REDACTED-CA.crt
ldap_id_use_start_tls = true
ldap_pwd_policy = shadow
ldap_access_filter = memberOf=cn=UNIX Users,ou=Policies,dc=REDACTED,dc=net
ldap_access_order = filter, authorized_service, host
ldap_default_bind_dn = uid=haruhi,ou=Machines,dc=REDACTED,dc=net
ldap_default_authtok = VERY_REDACTED
/etc/nsswitch.conf
passwd/group/shadow에 대한 지루한 항목이 있습니다:
passwd: compat ldap sss
group: compat ldap sss
shadow: compat sss
(ldap은 여전히 존재하지만 실제로 더 이상 시스템에 설치되지 않습니다)
또한 이것이 문제인지 의심스럽습니다(다른 컴퓨터에서도 동일한 동작을 보았기 때문에). 하지만 이 컴퓨터 Haruhi는 OpenLDAP를 실행하는 기본 LDAP 서버이기도 합니다.
SSSD를 구성하는 방법아니요LDAP 그룹에서 시스템 사용자를 제거하시겠습니까?
답변1
이는 sssd.conf를 다음을 포함하도록 설정하여 sssd 1.9.5에서 활성화됩니다.
ldap_rfc2307_fallback_to_local_users = true