getent passwd non funziona; Autenticazione LDAP CentOS 7 e SSSD


9

Ho installato CentOS 7 su un server nuovo di zecca. Tutti i miei server ottengono l'autenticazione dell'utente finale tramite LDAPS su vari sistemi come RHEL5, Debian e Solaris. Ho notato che c'è un nuovo livello su CentOS 7 che è SSS sopra NSS e PAM. Ad ogni modo, provo a replicare lo stesso tipo di connessione dell'altro server.

Il comando ldapsearch -xè vincolante in LDAP, ma non in LDAPS.

Mentre cercavo di risolvere il problema, ho provato a stabilire una connessione in LDAP comprimendo il livello SSS inserendo queste righe nel mio /etc/nsswitch.conf

passwd:     files ldap #sss 
shadow:     files ldap #sss 
group:      files ldap #sss 

E ho aggiunto questa riga in /etc/sssd/sssd.conf

cache_credentials = False

E ho riavviato ssd.

systemctl restart sssd

Controllo con il comando authconfig --teste tutto sembra ok: ( http://www.heypasteit.com/clip/1LZ2 )

Risposte:


9

Non sono sicuro che questa sia la soluzione corretta, ma ho notato nelle FAQ SSSD questo punto:

Quando devo abilitare l'enumerazione in SSSD? o Perché l'enumerazione è disabilitata per impostazione predefinita?

"Enumerazione" è il termine di SSSD per "leggere e visualizzare tutti i valori di una particolare mappa (utenti, gruppi, ecc.)". Lo disabilitiamo di default in SSSD al fine di ridurre al minimo il carico sui server con cui SSSD deve comunicare. Nella maggior parte delle operazioni, non sarà mai necessario elencare il set completo di utenti o gruppi. Le applicazioni generalmente richiedono informazioni su utenti o gruppi specifici.

L'enumerazione di tutte le voci ha un impatto negativo sul carico sul server e sulle prestazioni sul client (poiché dobbiamo salvare tutte le complesse relazioni tra utenti e gruppi a cui appartengono nella cache locale). Quindi, a causa di ciò, spediamo con le enumerazioni disabilitate (lo stesso comportamento del winbind del progetto Samba).

È necessario abilitare le enumerazioni (e i problemi di prestazioni risultanti) solo se nel proprio ambiente sono presenti applicazioni o script che devono assolutamente essere in grado di recuperare gli elenchi completi. In questi casi, l'enumerazione può essere abilitata impostando

   [domain/<domainname>]
   enumerate = true
   ...

nel tuo file sssd.conf.

Ciò ha consentito di getent passwdvisualizzare tutti gli account disponibili tramite SSSD. Tieni presente che questo può essere un freno alle prestazioni.

Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.