我正在尝试使用 chef 添加/修改一些本地用户帐户。无论出于何种原因,LDAP 中都有重复的帐户。由于系统使用 sssd/pam/ldap,它将用户视为现有用户,但无法修改它们,因为它们不在 /etc/passwd 中。
有没有办法完全绕过 ldap 帐户,使它们不进行 id 操作?然后 Chef 将正确创建它们。
答案1
ldap 配置中有一个选项可以忽略某些用户 ID 的 ldap 查找。在
/etc/ldap.conf
nss_initgroups_ignoreusers root,ldap,named,avahi,haldaemon,dbus,radvd,tomcat,radiusd,news,mailman
sssd 配置文件中也有此配置值
filter_users、filter_groups(字符串)排除某些用户从 sss NSS 数据库中获取。这对于系统帐户特别有用。此选项也可以按域设置,或包含完全限定名称以仅过滤来自特定域的用户。默认值:root