每一个使用SSSD进行LDAPauthentication的指南到目前为止,我发现如何做更多的不仅仅是authentication一个用户,比如提供他们的shell,组等。我不知道如何删除这些function,有像SSSD,PAM和NSS这样的移动部件。 由于通过LDAP(不是AD)提供什么信息的限制,只能对用户进行authentication。 甚至没有可用的uid,因为通过LDAP提供的唯一id是格式一致的字母数字string(在linux上不起作用)。 基本上,如何在Ubuntu上将SSSDconfiguration为将“ldap”作为“影子”数据库,而从本地系统数据库(passwd,group)获取uid,组和shell。 目前,这是通过libpam-ldap完成的,但是我的理解是有更好的select,比如libpam-ldapd和sssd,后者是RHEL已经转移到的。 如果我不得不猜测,可以按照我们目前的做法,这是nss将首先检查本地数据库,如果用户没有阴影文件入口,请检查ldap。 总而言之,如果我可以使用SSSD或作为备份libpam-ldapd来validation以下方法: uid – > / etc / passwd validation – > ldap shell – > / etc / passwd 组 – > / etc / group 如果可以阻止用户在本地创build密码,甚至更好,最终会在/ etc / shadow中导致它在将来的login尝试中检查ldap。 此外,所有本地和服务帐户不应受到影响,并且可以使用简单的正则expression式确定ldapauthentication的用户。 对于如何处理这个问题,我将非常感激。 谢谢!
我正在试图使用期望模块的Ansiblejoin一个Linux服务器与sssd的活动目录。 来自任务的代码: – name: join domain expect: command: /bin/bash -c "/usr/sbin/realm join –user=join-user domain.loc" response: password: "secret" 我从这个链接得到的代码,因为我之前googlesearch: https ://groups.google.com/forum/#!msg/ansible-project/L0Es3aGAKV8/DmPRaiGcBwAJ 实际的问题是,Ansible似乎并没有真正回应提示。 因为当我运行剧本时,它只是超时。 我没有直接通过SSHtesting,它的工作原理。 凭据很好,连接到域控制器的工作。 剧本在超时时输出: fatal: [192.168.11.1]: FAILED! => { "changed": true, "cmd": "/bin/bash -c \"/usr/sbin/realm join –user=join-user domain.loc\"", "delta": "0:00:30.112149", "end": "2017-03-22 08:37:18.320832", "failed": true, "invocation": { "module_args": { "chdir": null, "command": "/bin/bash -c […]
我有我的CentOS 6系统configuration为使用sdd与ldap提供程序。 我能够login并使用sudo,但是/ var / log / secure始终报告身份validation失败: Sep 18 07:09:52 serverA sudo:pam_unix(sudo:auth):authentication失败; logname = exampleuser uid = 10000 euid = 0 tty = / dev / pts / 1 ruser = exampleuser rhost = user = exampleuser Sep 18 07:09:52 serverA sudo:pam_sss(sudo:auth):authentication成功; logname = exampleuser uid = 10000 euid = 0 tty = / […]
我在工作场所build立了一个新的Linux环境。 我configuration了sssd并将其绑定到公司的一个Active Directory域。 我可以说sssd是部分工作,让我告诉你: 我已经清理本地机器上的sssdcaching,重新启动sssd并查询域用户: [root@pnd01 ~]# sss_cache -E [root@pnd01 ~]# service sssd restart Stopping sssd: [ OK ] Starting sssd: [ OK ] [root@pnd01 ~]# id itai.ganot uid=10238(itai.ganot) gid=10012(XXXX_ops) groups=10012(XXXX_ops) [root@pnd01 ~]# 这是sssd.conf文件: [sssd] config_file_version = 2 reconnection_retries = 3 sbus_timeout = 30 services = nss, pam domains = AD [nss] filter_groups = root […]
我正在探索使用LDAP在一些RHEL 6.4盒子上authentication用户的想法。 我使用sssd和LDAP提供程序,并将nsswitch.conf文件设置为使用sss作为passwd / shadow / group。 我如何设置,以便系统用户(不是来自LDAP)可以与LDAP用户在同一个组中? 例如,我可能希望某些LDAP用户处于“svn”组中,因此他们可以访问SVN存储库。 但是我也需要SVN服务器作为该组中的用户运行,而且该用户不是来自LDAP。 这可能吗?
我需要构build一个模块来pipe理我们的Red Hat虚拟机上的/etc/sssd/sssd.conf。 在伪造上发布的sssd模块似乎没有做我想要的,我也不想分叉它们中的任何一个。 我想保留Hiera的common.yaml文件中的所有configuration数据。 以下是我的sssd.conf文件。 [sssd] config_file_version = 2 services = nss, pam domains = default [nss] filter_groups = root filter_users = root reconnection_retries = 3 entry_cache_timeout = 300 entry_cache_nowait_percentage = 75 [pam] [domain/default] auth_provider = ldap ldap_id_use_start_tls = True chpass_provider = ldap cache_credentials = True ldap_search_base = dc=ederp,dc=com id_provider = ldap ldap_uri = ldaps://lvldap1.lvs01.ederp.com/ […]
我希望能够根据用户的LDAPnetworking组成员身份validation用户(通过ssh)到特定的主机组。 LDAP服务器是dsee7。 发行版是OEL 6.5,以openldap作为客户端。 我们不想使用LDAP进行身份validation的唯一帐户是root用户。 sssd.conf看起来像这样: [sssd] config_file_version = 2 services = nss,pam,autofs domains = default [nss] filter_groups = root filter_users = root reconnection_retries = 3 entry_cache_timeout = 300 entry_cache_nowait_percentage = 75 [pam] [domain/default] auth_provider = ldap ldap_id_use_start_tls = True chpass_provider = ldap cache_credentials = True ldap_search_base = dc=e-durp,dc=com id_provider = ldap ldap_uri = ldaps://lvl1.lvs01.edurp.com/ […]
我目前使用sssd.conf只允许login特定组中的ldap用户。 我想根据用户的组成员身份做相反的DENYlogin,同时允许所有其他不是该组成员的用户login。 这可能吗? 我目前的configuration允许基于组看起来像这样 access provider = ldap ldap_access_filter = (|(location=secure)(location=sysadm)) 我想基本上做下面的事情(位置不等于) ldap_access_filter != (|(location=secure)(location=sysadm))
我有CentOS6,使用LDAP用户authentication,使用OpenLDAP和SSSD。 我试图强制用户更改密码。 根据这个ServerFault的问题,我试图将ShadowLastChange设置为0 ,但是当用户使用SSHlogin时,它似乎被忽略了。 在这个问题有一个警告,它可能会导致无限循环的密码更改请求的错误,但我甚至没有得到单一的请求… 在这个问题上还有另一个build议, 试试passwordMustChange属性 但是当我尝试在我的.ldif文件中使用它时,我得到一个Undefined attribute type (17)错误 我也尝试在本地Unix用户上使用passwd -e username ,只是为了validation它是否正常工作,是的 – 当SSH用户login后,本地用户被迫更改密码。 编辑 我在OpenLDAP文档中发现了Password Policies覆盖。 应该有帮助吗? (如果是的话 – 是解决我的问题的唯一方法吗?) EDIT2 Password Policies似乎也没有帮助。 EDIT3 一个。 实际上,密码策略正在工作。 首先,我试图用hp支持提示来检查它,但ppolicy没有显示在日志文件中。 但后来我发现validation策略的好方法 – 将pwdAllowUserChange设置为FALSE ,并查看用户无法使用passwd更改密码,并从服务器收到错误消息。 或者,将pwdMaxAge更改为1 ,login并查看用户是否收到密码更改提示。 但是, pwdMustChange: TRUE仍然没有帮助。 在更改用户密码(使用JXplorer客户端或从Unix shell ldapmodify )后,用户不会收到密码更改通知。 也许我没有按预期设置密码? 他们说,在slapo-ppolicy pwdMustChange This attribute specifies whether users must change their […]
我对Samba4有点新,并将其用作AD DC。 我有一个运行的服务器,但似乎有权限问题。 目前,如果我在Samba共享中创build一个文件夹(从Windows),则服务器上的权限(从命令行)在3000000范围内。 Winbind没有在这台服务器上使用(Ubuntu 14.04,Samba 4.1.6)。 我决定使用SSS(v1.11.5)为了查看和应用服务器上的命令行AD权限 – 这是工作正常。 但是3000000+个UID / GID在服务器上没有正确parsing,AD中的UID / GID不同于Samba在服务器上应用的3000000+个ID。 我保持configuration非常基本,我在下面包含了相关的(消毒过的)configuration文件。 请让我知道,如果我可以提供任何额外的信息。 # smb.conf [global] workgroup = WKGP realm = WKGP.LOCAL netbios name = SERVER server role = active directory domain controller dns forwarder = 8.8.8.8 idmap_ldb:use rfc2307 = yes # sssd.conf [sssd] services = nss, pam config_file_version = 2 […]