getw passwd không hoạt động; Xác thực LDOS của CentOS 7 và SSSD


9

Tôi đã cài đặt CentOS 7 trên một máy chủ hoàn toàn mới. Tất cả các máy chủ của tôi đều nhận được xác thực người dùng cuối thông qua LDAPS trên nhiều hệ thống khác nhau như RHEL5, Debian và Solaris. Tôi nhận thấy có một lớp mới trên CentOS 7 là SSS trên NSS và PAM. Dù sao, tôi cố gắng sao chép cùng loại kết nối với máy chủ khác.

Lệnh ldapsearch -xđược ràng buộc trong LDAP, nhưng không phải trong LDAPS.

Trong khi đào vấn đề, tôi đã cố gắng thực hiện một kết nối trong LDAP siết chặt lớp SSS đặt các dòng này vào /etc/nsswitch.conf

passwd:     files ldap #sss 
shadow:     files ldap #sss 
group:      files ldap #sss 

Và tôi đã thêm dòng này trong /etc/sssd/sssd.conf

cache_credentials = False

Và tôi đã khởi động lại ssd.

systemctl restart sssd

Tôi kiểm tra bằng lệnh authconfig --testvà mọi thứ có vẻ ổn: ( http://www.heypasteit.com/clip/1LZ2 )

Câu trả lời:


9

Tôi không chắc đây có phải là giải pháp phù hợp hay không nhưng được chú ý trong Câu hỏi thường gặp về SSSD điểm này:

Khi nào tôi nên kích hoạt liệt kê trong SSSD? hoặc Tại sao liệt kê bị tắt theo mặc định?

"Liệt kê" là thuật ngữ của SSSD để "đọc và hiển thị tất cả các giá trị của một bản đồ cụ thể (người dùng, nhóm, v.v.)". Chúng tôi vô hiệu hóa điều này theo mặc định trong SSSD để giảm thiểu tải cho các máy chủ mà SSSD phải giao tiếp. Trong hầu hết các hoạt động, việc liệt kê toàn bộ nhóm người dùng hoặc nhóm sẽ không bao giờ cần thiết. Các ứng dụng thường sẽ yêu cầu thông tin về người dùng hoặc nhóm cụ thể.

Việc liệt kê tất cả các mục có tác động tiêu cực đến tải trên máy chủ và hiệu suất trên máy khách (vì chúng ta phải lưu tất cả các mối quan hệ phức tạp giữa người dùng và các nhóm mà chúng thuộc về bộ đệm cục bộ). Vì vậy, vì điều này, chúng tôi giao hàng với vô số liệt kê (hành vi tương tự như winbind của dự án Samba).

Bạn chỉ nên kích hoạt bảng liệt kê (và các vấn đề về hiệu suất kết quả) nếu bạn có các ứng dụng hoặc tập lệnh trong môi trường của mình mà hoàn toàn phải có thể truy xuất danh sách đầy đủ. Trong những trường hợp này, có thể bật liệt kê bằng cách cài đặt

   [domain/<domainname>]
   enumerate = true
   ...

trong tập tin sssd.conf của bạn.

Điều này cho phép khả năng getent passwdhiển thị tất cả các tài khoản có sẵn thông qua SSSD. Được cảnh báo rằng đây có thể là một hiệu suất kéo.

Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.