LDAP를 통해 sudoer 얻기(SUSE Linux Enterprise Server 12)

tag-icon tag-icon linux sudo ldap sssd nsswitch
LDAP를 통해 sudoer 얻기(SUSE Linux Enterprise Server 12)

SUSE Linux Enterprise Server 12의 LDAP 구성에 문제가 있습니다.

많은 분들이 아시다시피 ldap.conf 파일은 sssd.conf 및 nsswitch.conf와 같은 기타 여러 conf 파일로 대체되었습니다.

특정 OU의 사용자를 선택하기 위해 LDAP를 통해 인증하고 싶습니다. 또한 LDAP를 통해 sudoer의 정의를 가져와야 합니다. 저는 sssd를 한번도 사용해본 적이 없습니다.

현재 NSS 구성은 다음과 같습니다.

passwd: files ldap
shadow: files ldap
group:  files ldap

hosts:  files dns
networks:       files

services:       files
protocols:      files
rpc:    files
ethers: files
netmasks:       files
netgroup:       files nis
publickey:      files

bootparams:     files
automount:      files nis
aliases:        files
passwd_compat:  files
group_compat:   files
sudoers:        ldap files [I added this line]

이것은 내 sssd.conf입니다.

[sssd]
config_file_version = 2
services = nss, pam
domains = *****
sbus_timeout = 30

[nss]
filter_users = root
filter_groups = root
reconnection_retries = 3
entry_cache_timeout = 300
entry_cache_nowait_percentage = 75

[pam]

[domain/GuH]
id_provider = ldap
auth_provider = ldap
ldap_schema = rfc2307bis
ldap_user_object_class = posixAccount
debug_level = 20
#access_provider = ldap
ldap_uri = ldap://******.de
ldap_search_base = o=***
create_homedir = truei
ldap_tls_cacert = /etc/sssd/certs/*******.pem
ldap_tls_cacertdir = /etc/sssd/certs
ldap_id_use_start_tls = true
ldap_default_bind_dn = cn=********,o=guh
ldap_default_authtok_type = *******
ldap_default_authtok = *********
ldap_user_member_of = *********
ldap_group_name = cn=*******,ou=*******,ou=******,o=******

*가 올바르게 입력되었다고 가정합니다.

또한 PAM 구성 파일에서 수행할 작업이 있나요? 이 문제를 해결하는 사람을 본 적이 없습니다.

답변1

이 연습Ubuntu 14.04에서 작동합니다. 게다가,레드햇 페이지리뷰에 인용된 내용이 더 이상 인용되지 않는 것으로 보입니다 authconfig. 주요 내용은 다음과 같습니다.

  • LDAP에 포함되어 있지 않은 경우 sudoers 구성표를 가져옵니다( schema.ActiveDirectory예: Active Directory에 필요).
  • 다음과 같이 규칙을 만듭니다.sudoers-ldap 맨페이지(Active Directory에서는 ADSI 편집과 같은 도구를 사용하십시오)
  • 포함 etc/nsswitch.conf하도록 업데이트되었습니다 .ssssudoers =
  • 업데이트에는 다음이 etc/sssd/sssd.conf포함됩니다.
    • sudo~ 사이services =
    • 한 줄 sudo_provider =(내 경우에는 adActive Directory이지만 그럴 수도 있음 ldap)
    • [sudo]섹션(구성이 필요하지 않지만 Redhat에서는 이를 통해 sudo 지원의 올바른 구성이 트리거된다고 주장함)

많은 사람들이 스택의 다양한 부분에 있는 버그로 인해 문제를 겪고 있으므로 다음을 참조하세요.이 답변그리고이 문제만약 질문이 있다면. FWIW이 지침규칙이 sudo까지 전달되는지 확인하는 데 충분한 디버깅 정보를 제공했습니다. 특히 다음과 같습니다.

  • /etc/sudo.conf에 다음 줄을 추가합니다.

    Debug sudo /var/log/sudo_debug.log all@debug
Debug sudoers.so /var/log/sudo_debug.log all@debug

  • 디버깅하려는 사용자로 sudo 명령을 실행하십시오.

관련 정보