在干净安装的centos-7主机上: realm join -U foo –client-software sssd AD.EXAMPLE.COM 运行realm list输出看起来像这样: AD.EXAMPLE.COM type: kerberos realm-name: AD.EXAMPLE.COM domain-name: ad.example.com configured: kerberos-member server-software: active-directory client-software: sssd required-package: oddjob required-package: oddjob-mkhomedir required-package: sssd required-package: adcli required-package: samba-common login-formats: %[email protected] login-policy: allow-realm-logins 告诉我,我已经按照我的意愿join了一个活动目录。 后来(不知道是什么触发或它…系统重新启动保证,但其他的事情似乎也可以 – 也许一个桑巴重启?),领域列表输出更改为此 ad.example.com type: kerberos realm-name: AD.EXAMPLE.COM domain-name: ad.example.com configured: kerberos-member server-software: active-directory client-software: winbind required-package: […]
目标:使用LDAP对CentOS7进行身份validation 问题 1)用户无法find calling ldap_search_ext with [(&(uid=bla)(objectclass=posixAccount)(uid=*)(&(uidNumber=*)(!(uidNumber=0))))][dc=my-domain,dc=com] 2)找不到posixAccount对象类 问题 如何添加objectClass posixAccount ? 如果这个objectClasstypes找不到如何更改sssd的查找,允许此软件在OpenLDAP中find用户并允许对CentOS7进行身份validation? 全面 1)安装了sssd 2)使用CentOS7上configuration的sssd进行ldapauthentication [root@controller ~]# authconfig –enablesssd –enablesssdauth –enablelocauthorize –update 3)启用了sssddebugging /etc/sssd/sssd.conf [domain/default] autofs_provider = ldap cache_credentials = True krb5_realm = # ldap_search_base = dc=my-domain,dc=com id_provider = ldap auth_provider = ldap chpass_provider = ldap ldap_uri = ldap://<ipaddress>/ ldap_tls_cacertdir = /etc/openldap/cacerts debug_level = […]
我有一个托pipesshd的Centos 7计算机networking,每个计算机都被configuration为在LDAP目录中查找用户的公共密钥以进行sshvalidation。 此外,所有可以访问这些Centos框的ssh用户都可以分为以下两个组:用户或pipe理员。 我想确保users组中的所有用户都将其shell设置为/bin/false并且admins组中的所有用户都将其shell设置为/bin/bash 。 在SSSD中,以下成功将所有用户的shell设置为/bin/false : [domain/mydomain.com] override_shell = /bin/false 有没有办法为每个AD组分别设置shell? 像下面的东西? [domain/[email protected]] override_shell = /bin/false [domain/[email protected]] override_shell = /bin/bash 如果是这样,怎么样?
今天的情况:我们已经在多个Ubuntu客户端上获得了sssd-config的function。 该configuration包含对LDAP服务器的authentication。 SASL-Mech被指定为“gssapi”并使用krb5-keytab文件。 Bombastic feauture:keytab文件的指定用户每90天过期一次。 不是那么糟糕,但是replace客户端上的keytab文件需要很长时间,而且额外的风险更大。 明天的情况将是:如果可能的话,我们希望使用用于login的凭证,因为LDAP不是匿名可读的,并且每个域用户都将具有读访问权限。 其实,我没有想法把活动的login凭证放在sssd上来检查对LDAP的身份validation。 任何援助将不胜感激! 在要求不使用这个用户之前:我们处于一个复杂的networking,这个networking不是由我们自己pipe理的,我们只允许使用这些用户。
我的Ubuntu 15.04服务器上有一些间歇性的身份validation问题。 我在这里直接询问了这个问题: Kerberosencryptiontypes错误 我的Windows数据中心现在是混合版本(我们正在努力消除较旧的数据中心并升级到最新版本。)如何validation每个Ubuntu数据中心的身份validation到哪个DC? 它只是使用DNS来find一个DC。 每个盒子总是使用相同的DC,只要它可用,还是会使用某种循环法? 由于问题是间歇性的,我很想知道它是否只与某些DC有关。
使用这个链接 ,我已经build立了一个服务器,正确join到Active Directory服务器,但出于某种原因,我无法使用我在笔记本电脑上创build的几个testing用户的Kerberos票证来validation服务器。 本地笔记本电脑上的所有用户都具有相同的.ssh / config,并且全部使用相同的/etc/krb5.conf; 所有的用户也可以通过使用kinit成功地从AD获得有效的票证。 但是,当我尝试SSH到前面提到的连接到AD的服务器时,会出现问题。 当我尝试用我自己的帐户“parkel”login时,它会要求我input密码,然后input我的AD密码,然后通过身份validationlogin服务器,第一次login时,我的homedir已正确我被分配到AD中gidNumber中设置的组中; 在世界上一切似乎都好。 我testing了在AD中更改gidNumber,所有更改都在激活后立即激活。 世界上所有人似乎都还好。 那是什么时候开始的问题。 在看到我的成功之后,我在AD做了两个testing账户,这是我以前工作的AD-account的副本,'test1'和'test2'。 我在我的笔记本电脑上更换了这个账号,做了kinit并拿到了一张票。 但是,当我尝试login到服务器时,它只是尝试使用密码进行身份validation,并且在日志中没有提到使用pam_sss进行身份validation,因为本地用户不存在,这将会失败。 我已经检查了更多的谷歌search和文档比我不愿意承认,但我真的在这里亏本; 我很确定我忽略了一些愚蠢的小细节,但我真的找不到我要去哪里错了。 包括服务器上的sshd日志以及服务器上和我的客户端上的krb5.conf中的一些输出。 SSHD输出 Dec 10 11:59:04 ldaptest.vs.lan sshd[2384]: Authorized to parkel, krb5 principal [email protected] (ssh_gssapi_krb5_cmdok) Dec 10 11:59:04 ldaptest.vs.lan sshd[2384]: Accepted gssapi-with-mic for parkel from 192.168.100.2 port 56752 ssh2 Dec 10 11:59:04 ldaptest.vs.lan systemd[1]: Created slice user-2001.slice. Dec […]
如果我们要使用FreeIPA Active Directory信任集成选项,我们可以使用SunLDAP的现有实现来存储策略(例如,sudo,hbac等) 基本上我们不要为了存储策略而创build另一个LDAP目录。
基本信息 我正在CentOS(6.8)上运行sssd(1.13.3-22)以使用Active Directory(2012)进行身份validation。 我不希望使用存储在AD中的uid数字,所以我将ldap_id_mapping设置为true。 当我运行“ID有效用户名”我得到的答复“没有这样的用户”。 我查看了sssd域的日志,看到ldapsearchValidUsername没有返回任何结果。 当我用ldapsearch运行相同的查询时,它也不返回结果,但是我可以修改查询来排除uidNumber,它会返回一个结果。 请参阅下面的详细信息ldap查询信息。 详细信息 sssd_VALID.DOMAIN.CORP.log片段 [sdap_search_user_next_base] (0x0400): Searching for users with base [DC=valid,DC=domain,DC=corp] [sdap_get_generic_ext_step] (0x0400): calling ldap_search_ext with [(&(sAMAccountName=ValidUsername)(objectclass=user)(sAMAccountName=*)(&(uidNumber=*)(!(uidNumber=0))))][DC=valid,DC=domain,DC=corp]. [sdap_get_generic_op_finished] (0x0400): Search result: Success(0), no errmsg set [sdap_search_user_process] (0x0400): Search for users, returned 0 results. [sdap_get_users_done] (0x0040): Failed to retrieve users [sysdb_search_by_name] (0x0400): No such entry [sysdb_delete_user] (0x0400): Error: 2 […]
我目前使用sssd来authentication用户到活动目录。 但是,我仍然需要能够添加本地用户。 我注意到SSSD有一个本地提供者,也是一个通过sss_useradd将本地用户添加到caching的工具。 但通过我的testing,它会出现使用useradd工作正常,不会导致SSSD的问题,提供用户GID / UID和ID不存在。 我的问题是,任何人都可以提供一个理由使用sss_useradd和本地提供程序通过useradd? 使用SSSD,如果caching被清除,是不是意味着用户被删除? 至less在useradd中,如果清除了sssdcaching,那么这些用户将会继续存在。 谢谢
我有一个Linux服务器与sssd使用ldap服务器的身份validation后端。 连接到LDAP服务器是flakey,所以我得到的authentication是好的,然后突然一个将永远超时,只有在下次尝试罚款。 我试图调整sssd来更频繁,更快地使用caching。 我知道sssd在离线模式和在线模式下均使用caching,但我怀疑它正尝试使用在线模式,而不是最适合我的情况。 sssd如何决定何时下线并重新上网? 我该如何调整转换的速度? 谢谢!