ldapsearch 适用于 ldaps,但 getent passwd 'user' 在 Centos 7 最低 openldap 服务器上不返回任何内容

ldapsearch 适用于 ldaps,但 getent passwd 'user' 在 Centos 7 最低 openldap 服务器上不返回任何内容

我已经在 centos 7 以上版本上安装了 openldap,并成功将用户 newuser01 添加到数据库中。ldapsearch 可以在主服务器和客户端上使用以下格式正常工作:
ldapsearch -H ldaps://provider.example.com -x -D "cn=Manager,dc=example,dc=com" -W

但是,客户端和主控上均不返回任何内容getent passwd -s sss newuser01getent passwd newuer01

这是我查看过的文件,我不确定它们是否配置正确,以及是否还有其他文件我应该查看,非常感谢您的努力:

  • /etc/nsswitch.conf /etc/openldap/ldap.conf
  • /etc/sssd/sssd.conf
  • /etc/openldap/slapd.conf # 在 centos 7 中已弃用
  • /etc/pam.d/系统身份验证

在 Master 上:

/etc/nsswitch.conf包含:

passwd:     files sss
shadow:     files sss
group:      files sss
hosts:      files dns 
bootparams: nisplus [NOTFOUND=return] files
ethers:     files
netmasks:   files
networks:   files
protocols:  files
rpc:        files
services:   files sss
netgroup:   files sss
publickey:  nisplus
automount:  files
aliases:    files nisplus

/etc/openldap/ldap.conf包含:

BASE            dc=example,dc=com
URI             ldaps://provider.example.com
TLS_CACERTDIR   /etc/openldap/certs
TLS_REQCERT     demand
SASL_NOCANON    on

/etc/sssd/sssd.conf 服务器上为空

/etc/pam.d/system-auth包含:

auth        required      pam_env.so
auth        sufficient    pam_unix.so nullok try_first_pass
auth        requisite     pam_succeed_if.so uid >= 1000 quiet_success
auth        required      pam_deny.so
account     required      pam_unix.so
account     sufficient    pam_localuser.so
account     sufficient    pam_succeed_if.so uid < 1000 quiet
account     required      pam_permit.so
password    requisite     pam_pwquality.so try_first_pass local_users_only retry=3 authtok_type=
password    sufficient    pam_unix.so sha512 shadow nullok try_first_pass use_authtok
password    required      pam_deny.so
session     optional      pam_keyinit.so revoke
session     required      pam_limits.so
-session     optional      pam_systemd.so
session     [success=1 default=ignore] pam_succeed_if.so service in crond quiet use_uid
session     required      pam_unix.so

在客户端上:

/etc/nsswitch.conf 包含与服务器完全相同的内容

/etc/openldap/ldap.conf 包含:

TLS_CACERTDIR /etc/openldap/cacerts
# Turning this off breaks GSSAPI used with krb5 when rdns = false
SASL_NOCANON    on
URI ldaps://provider.example.com:636
BASE dc=example,dc=com

/etc/sssd/sssd.conf包含:

[domain/default]
autofs_provider = ldap
cache_credentials = False
ldap_search_base = dc=example,dc=com
krb5_server = #
id_provider = ldap
auth_provider = ldap
chpass_provider = ldap
ldap_uri = ldaps://provider.example.com:636
ldap_id_use_start_tls = False
ldap_tls_cacertdir = /etc/openldap/cacerts
[sssd]
services = nss, pam, autofs
config_file_version = 2
domains = default
[nss]
homedir_substring = /home
[pam]
[sudo]
[autofs]
[ssh]
[pac]
[ifp]

/etc/pam.d/system-auth 似乎包含服务器对此额外条目所执行的操作:

session     optional      pam_sss.so

答案1

这对我来说有效,使用 sssd-ldap 对抗 freeipa ldap 服务器(不是使用内置 idm 提供程序,而是使用要求的 sssd-ldap 提供程序)。

  • 安装 sssd-ldap 和 authoconfig
  • 跑步authconfig --enablesssd --enablesssdauth --enablelocauthorize --update
  • 使用适当的信息创建配置文件 /etc/sssd/sssd.conf:
[domain/default]

autofs_provider = ldap
ldap_schema = rfc2307bis
id_provider = ldap
auth_provider = ldap
chpass_provider = ldap
ldap_uri = ldap://your.ldap.host
ldap_id_use_start_tls = True
cache_credentials = True
ldap_tls_cacertdir = /etc/pki/tls/certs
ldap_tls_cacert = /etc/pki/tls/certs/ca-bundle.crt
ldap_default_bind_dn = uid=user1,cn=users,cn=accounts,dc=your,dc=domain,dc=tld
ldap_default_authtok_type = password
ldap_default_authtok = secretpassword
ldap_user_search_base = cn=users,cn=accounts,dc=your,dc=domain,dc=tld
ldap_group_search_base = cn=groups,cn=accounts,dc=your,dc=domain,dc=tld

[sssd]
services = nss, pam, autofs
config_file_version = 2

domains = default
[nss]
homedir_substring = /home

[pam]

[sudo]

[autofs]

[ssh]

[pac]

[ifp]
  • 重新启动 sssd 服务:systemctl restart sssd
  • 验证 nsswitch.conf 中是否为 passwd、groups 和 shadow 启用了 sss。不要在 nsswitch.conf 中使用 ldap,它应该是“files sss”,而不是“files ldap”

如果您不需要绑定来获取用户列表,请删除 ldap_default_bind_dn、ldap_default_authtok_type 和 ldap_default_authtok 指令。如果您不需要 tls,请删除这些指令,但您正在对用户进行身份验证,因此应该启用它。修改 cacertdir 和 cacert 指令的路径以匹配您的情况,作为用户和组搜索基础。

在此博客中:http://www.couyon.net/blog/enabling-ldap-usergroup-support-and-authentication-in-centos-6您将找到类似的操作指南。官方 Red Hat 文档在此处:https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/7/html/System-Level_Authentication_Guide/Configuring_Domains.html#Configuring_Domains-Configuring_a_Native_LDAP_Domain

一如既往,事实胜于雄辩:

[root@localhost sssd]# grep user1 /etc/passwd
[root@localhost sssd]# getent passwd user1
user1:*:1076200004:1076200004:ipa user:/home/user1:/bin/sh

相关内容