我有一组现有的 Centos 5.4 服务器,这些服务器根据是否是 ldap 组 vizusers 的唯一成员来限制登录。用户可以是该组的直接唯一成员,也可以是 的唯一成员组的成员vizusers。
我正在尝试在 Centos 6.4 下实现同样的方法。ldap 服务器位于封闭网络上,不支持 SSL 或 TLS,因此无法使用 sssd。需要使用pam_ldap和。nslcd
直接唯一成员的用户解析正确,这可以从“组用户名”返回 vizusers 作为次要组得到证明。应继承此组的用户仅返回其主要组。
pam_ldap.conf,ldap.conf并且nslcd.conf与 Centos 5.4 主机上的工作配置没有变化。
vizusers 的 ldapsearch 返回所有具有 uniquemembers 的用户和组。随后对子组进行搜索,正确返回了预期的用户。
我错过了什么?
答案1
根据stackexchange 的答案不存在“linux 嵌套组”这样的东西。
因此 Centos 6.4 的行为符合预期。
它在 Centos 5.4 上是如何工作的是一个谜。
旁注:我认为sssd使用纯文本 LDAP 绑定可以正常工作。