CentOS 7 + SSSD + AD AD用户是通过bash脚本创build的。 为了确认AD用户帐户被创build,我使用了getent passwd <username> 。 它不会立即返回在AD中创build的用户帐户,而是在使用相同的getent passwd <username>后一分钟左右返回用户帐户。 是否有任何configuration参数在sssd.conf更改?
我一直在尝试使用Realmd / SSSD(SSSD版本1.13.4)在我的ubuntu 16.04主机上设置Active Directory集成。 我可以以AD用户的身份login到该框,枚举组使用命令“getent group”,但是,该设置没有通过命令“id [email protected]”正确枚举用户的组成员身份。 我将附上我的configuration文件和SSSD的相关日志文件(debugging级别设置为9)。 从parsing日志文件中可以看出,SSSD似乎无法为用户查询tokenGroups,声称查询不返回任何令牌组。 我已经validation了tokenGroups可以通过编写查询tokenGroups属性的一些基本.Net代码从Windows Active Directory服务器中检索,并且它正确地返回所有的组。 不过,由于某种原因,上海可持续发展处似乎遇到问题。 我相信我的活动目录使用架构rfc2307bis,我已经尝试了设置打开和closures,都与ldap_group_member = member / uniqueMember,但它没有改变任何东西(此外,我不认为这会影响组查找如果SSSD试图使用tokenGroups)。 SSSD.conf: [sssd] domains = my.domain config_file_version = 2 services = nss, pam debug_level = 9 [nss] debug_level = 9 [pam] debug_level = 9 [domain/mydomain] ad_domain = ad.utah.edu krb5_realm = AD.UTAH.EDU #Specifying the site is essential to […]
我有一个最新版本的红帽的问题,nss / nscd不接受MD5证书。 由于build议,我用sssdreplacenscd这个howto http://www.couyon.net/1/post/2012/04/enabling-ldap-usergroup-support-and-authentication-in-centos-6.html 我已经运行这个命令来激活sssd: authconfig –enablesssd –enablesssdauth –enablelocauthorize –update 我已经确保/etc/nsswitch.conf中的引用全部设置为“files sss”: passwd: files sss shadow: files sss group: files sss 我已经增加了debug_level到5来提供更多的信息: [root@tst-02 sssd]# cat sssd_default.log (Mon Jul 29 14:53:38 2013) [sssd[be[default]]] [recreate_ares_channel] (0x0100): Initializing new c-ares channel (Mon Jul 29 14:53:38 2013) [sssd[be[default]]] [sysdb_domain_init_internal] (0x0200): DB File for default: /var/lib/sss/db/cache_default.ldb (Mon Jul 29 […]
我在Centos支持论坛上问过这个问题,但是我们没有find解决scheme( https://www.centos.org/forums/viewtopic.php?f=13&t=46101#p196728 ) 当通过LDAP / sssdlogin时,我们没有find一种方法来为使用ssh和graphics窗口pipe理器login时激活的所有用户设置系统别名。 编辑/etc/bashrc并将别名添加到底部根本没有成功。 既不使用SSH也没有graphicslogin。 编辑/etc/profile并添加别名在使用ssh时只能取得成功 我知道编辑这两个文件是一个坏主意。 如果有人在/etc/profile.d/*加载scipt的解决scheme 环境: 客户:CentOS 6.5 Server / LDAP:Debian 7上的OpenLDAP / slapd 2.4.31-1 + nmu2
我需要根据用户的LDAP组成员来限制对主机的ssh访问。 我想用sssd的ldap_access_filterfunction来做到这一点。 这是我的sssd.conf文件: [sssd] config_file_version = 2 services = nss, pam domains = default [nss] filter_users = root,ldap,named,avahi,haldaemon,dbus,radiusd,news,nscd [pam] [domain/default] debug_level = 5 ldap_tls_reqcert = never auth_provider = ldap access_provider = ldap ldap_schema = rfc2307bis ldap_search_base = dc=edurp,dc=com ldap_group_member = uniquemember #id_provider = ldap ldap_id_use_start_tls = False chpass_provider = ldap ldap_uri = ldaps://ldap0.la01.edurp.com/,ldaps://ldap1.la01.edurp.com/ ldap_chpass_uri = […]
我正在尝试使用sssd同步我的Debian服务器。 当我运行getent passwd username@domain ,用户不会被返回。 日志说这是因为我错过了从LDAP查找UID。 不过,当我设置ldap_id_mapping = true时候,我清楚地知道我不需要它。 even的完整日志是: (Mon Jan 26 17:39:13 2015) [sssd[be[thecompany.dk]]] [sdap_save_user] (0x0020): no uid provided for [nmw] in domain [netdesign.dk]. (Mon Jan 26 17:39:13 2015) [sssd[be[thecompany.dk]]] [sdap_save_user] (0x0040): Failed to save user [somedude] (Mon Jan 26 17:39:13 2015) [sssd[be[thecompany.dk]]] [sdap_save_users] (0x0040): Failed to store user 0. Ignoring. (Mon Jan […]
这是Ubuntu 12.04.5 LTS 我试图实现SSSD作为一个客户端,一切正常,但SUDO我什么都看不到在sssd_sudo.log文件中发生的一切,但通常的文件刷新 安装版本: sudo-ldap:版本:1.8.3p1-1ubuntu3.7 sssd:版本:1.8.6-0ubuntu0.3 nscd:版本:2.15-0ubuntu10.11 libsss-sudo:版本:1.11.7-3 我可以在日志中看到sssd在ldap服务器中的sudoers内search。 (注意是一个freeIPA 4.1 ldap服务器和这个实现是使用PLANE sssd所以在Ubuntu客户端框中没有任何相关的Ipa) CONFIGS: 的nsswitch.conf # /etc/nsswitch.conf # # Example configuration of GNU Name Service Switch functionality. # If you have the `glibc-doc-reference' and `info' packages installed, try: # `info libc "Name Service Switch"' for information about this file. # passwd: compat sss # […]
是否需要重新启动服务器或特定的服务以使pam文件( /etc/pam.d/system-auth )的更改生效? 更长的版本 – 我正在configurationSSSD连接LDAP进行身份validation。 该系统基于RHEL6,SSSD已经configuration为在此环境中的多个其他RHEL6服务器中工作。 在这些其他服务器上,无论用户何时访问系统,它都显示在/var/log/secure类似于下面的尝试成功或失败。 sshd[1489]: pam_sss(sshd:auth): authentication success; logname= uid=0 euid=0 tty=ssh ruser= rhost=ipaddress user=user sshd[1664]: pam_sss(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=server user=user 这些日志消息不会显示在/var/log/secure ,并且用户无法login到服务器。 尽pipe如此, getent passwd和getent group确实会返回预期的LDAP用户和组。 对于证书目录/etc/pam.d/system-auth和/etc/sssd/sssd.conf ,一切看起来都不错。
我有很多运行各种Linux的服务器,都通过SSSD设置为OpenLDAP客户端。 我添加了一个LDAP组(sysadmins)。 我还在我的所有服务器上添加了一个系统pipe理员组。 系统pipe理员组的成员将随着时间而改变。 如何让LDAP组中的所有用户在login时添加到本地组?
我试图configurationRedhat 6.x服务器通过SSSD授权和身份validation到Active Directory(AD) – join服务器后,我可以使用任何有效的域凭据login。 如何限制访问1个或多个AD组? 这是由access_provider属性设置的吗? 它目前设置为“广告” – 我如何设置用户权限? 这将工作NFSv4股份将被托pipe? 并可以同时访问Windows或Linux?