我正在我的 LAN 基础设施中实施集中式身份验证。LDAP 服务器已启动并正在运行,并且所有 Debian/Ubuntu 服务器都设法根据 LDAP 验证用户身份。
现在,我所有的 CentOS8/Fedora32 机器都无法做到这一点。首先,客户端配置基于 sssd,两者有很大不同,但即便如此,一旦我完成了客户端配置,我就可以输入id $USER获取所有用户的 UID、GID 等,所以我知道配置是合理的。
现在,从新配置的 root 身份,假设我执行以下操作:
# su - USER1--> 成功,无需询问密码(当然),创建主目录
# su - USER2-->(再次以 root 身份),
现在再次成功...作为 USER2:
USER2$ su - USER1--> 将提示输入 USER1 的密码,并且将失败。
从任何其他机器:ssh USER1@LDAPCLIENT-->对于任何其他用户都同样失败。
这让我想到,无论后端是什么,基于 RH 的机器解释密码的方式可能存在问题。我不是 PAM、SSSD 或任何安全机制方面的专家,所以我不知道。
有谁对 RH 和 Debian 上的 SSSD、PAM、NSS 有足够的了解,可以给我讲讲吗?
答案1
您可能已将 sssd 集成到 nsswitch 中,但尚未将 pam 集成。
如果grep sss /etc/pam.d/*没有结果,则运行sudo authconfig --enablesssdauth --update。