getent 组正在工作,但 sshd_config allowedgroups 未检索到适当的组

getent 组正在工作,但 sshd_config allowedgroups 未检索到适当的组

我正在尝试在 Debian Jessie 上使用 OpenLdap 自动化设置 Kerberos MIT 身份验证。

身份验证部分运行良好,因为我可以使用我的 kerberos 帐户登录 SSH。

我什至可以使用 pam_mkhomedir.so 创建用户主目录

但是,我无法使用 Ldap posixGroup 来允许访问我的 SSH 服务器:

这是输出getent group

getent group | grep tupac
adminsLinux:*:3000:uid=tupac,ou=people,dc=maytacapac,dc=inc

这是 sshd_config 的摘录:

AllowGroups adminsLinux

以下是日志文件:

sshd[3305]: User tupac from a.b.c.d not allowed because not in any group
sshd[3305]: input_userauth_request: invalid user tupac [preauth]
sshd[3305]: Connection closed by a.b.c.d [preauth]

这是id tupac输出

uid=20003(tupac) gid=20003 groups=20003

tupac 用户不属于任何 Unix 组,但我想允许基于 OpenLdap posixGroup 的访问。我认为 /etc/nsswitch.conf 配置和 getent 组解析足以根据 posixGroups 授予访问权限。

答案1

uid=tupac,ou=people,dc=maytacapac,dc=inc看起来不对,因为我见过的大多数(好吧,除了这个之外的所有)LDAP 提供的组成员身份不包含 LDAP DN,而只包含用户名,所以我希望看到adminsLinux:*:3000:tupac.

相关内容