我使用openldap以下结构:
dc=example,dc=org
├── ou=groups
│ ├── cn=wheel
│ └── cn=adm
└── ou=users
├── uid=firstname.lastname
└── uid=firstname.lastname
我发现每个 SSSD 设置都使用设置ldap_search_base。但我的结构很简单,我更愿意避免在配置文件中输入管理员密码(或允许匿名绑定...)。
是否有类似这样的设置:
ldap_direct_bind = "uid=%(user)s,ou=users,dc=example,dc=org"
感谢您的帮助!
答案1
你不需要(在我看来你不应该有)提供一个管理员用户ldap_default_bind,你所需要的只是一个对必要的用户属性有读取权限的帐户(定义在RFC 2307)。
您的方法的问题在于,用户枚举可能不起作用,因为不能保证用户对整个树具有读取权限。例如,这是 ssh 的问题,因为 ssh 在尝试进行身份验证之前会检查用户是否存在。
答案2
我在项目页面上发布了一个问题:https://github.com/SSSD/sssd/issues/6376