我正在尝试在 Debian Jessie 上使用 OpenLdap 自动化设置 Kerberos MIT 身份验证。
身份验证部分运行良好,因为我可以使用我的 kerberos 帐户登录 SSH。
我什至可以使用 pam_mkhomedir.so 创建用户主目录
但是,我无法使用 Ldap posixGroup 来允许访问我的 SSH 服务器:
这是输出getent group
getent group | grep tupac
adminsLinux:*:3000:uid=tupac,ou=people,dc=maytacapac,dc=inc
这是 sshd_config 的摘录:
AllowGroups adminsLinux
以下是日志文件:
sshd[3305]: User tupac from a.b.c.d not allowed because not in any group
sshd[3305]: input_userauth_request: invalid user tupac [preauth]
sshd[3305]: Connection closed by a.b.c.d [preauth]
这是id tupac
输出
uid=20003(tupac) gid=20003 groups=20003
tupac 用户不属于任何 Unix 组,但我想允许基于 OpenLdap posixGroup 的访问。我认为 /etc/nsswitch.conf 配置和 getent 组解析足以根据 posixGroups 授予访问权限。
答案1
uid=tupac,ou=people,dc=maytacapac,dc=inc
看起来不对,因为我见过的大多数(好吧,除了这个之外的所有)LDAP 提供的组成员身份不包含 LDAP DN,而只包含用户名,所以我希望看到adminsLinux:*:3000:tupac
.