「su」を実行すると、LDAP ユーザーは存在しません。

「su」を実行すると、LDAP ユーザーは存在しません。

Sander Van VugtのRHEL7用RHCSA / RHCEブックの指示に従ってLDAP認証を設定しようとしています。第6章では、authconfig-tuiこのFORCELEGACYオプションを使用するときに設定するようにyes説明します/etc/sysconfig/authconfignslcd代わりにこのエントリを設定する必要がありますsssd

私はこれが起こるとは思わない。 7.0または7.1でもそうかもしれませんが、7.3ではオプションはnoafter usingに設定されていますauthconfig-tui

nslcdVSsssdの混乱を避けて練習を完了し、LDAPを介してそのユーザーを認証しようとすると、su - lara次のような結果のみが得られます。

su: user lara does not exist

FreeIPAサーバーがクエリに応答するために使用されていることを確認し、ldapsearchこれはユーザーがLDAPにあることを確認しました。しかし、これはsuLDAPの認証ではありません/etc/passwd

私のPAM system-auth設定にはsssd必要な項目が含まれています。

auth        sufficient    pam_sss.so forward_pass
account     [default=bad success=ok user_unknown=ignore] pam.sss.so
password    sufficient    pam_sss.so use_authtok
session     optional      pam_sss.so

私の/etc/nsswitch.confファイルには以下が含まれます。

passwd:    files sss
shadow:    files sss
group:     files sss

サービスsssdが有効になっています。

/var/log/*またはにログエントリがありません/var/log/sssd/*。実際、sssdログには何も含まれていません。

編集する

少し読んだ後もまだ解決策が見つかりませんでしたが、より多くの情報があります。

sshLDAPサーバーに接続すると、laraというユーザーで認証できます。だから私はLDAPが実際に動作していることを知っています。

PAM私も構成を見ましたsu。プールsystem-authファイルは次のとおりです。

auth        substack        system-auth
account     include         system-auth
password    include         system-auth
session     include         system-auth

pam_sss.soしたがって、そのモジュールを暗黙的に使用する必要があります。

しかし、まだ解決していません。

編集2

IPAサーバーにローカルにログインするか、laraユーザーを使用してSSH経由でログインできたため、サーバーのpamファイルとクライアントのpamファイルを比較することにしました。私が確認できる唯一の違いは、顧客がアカウント項目broken_shadowに含まれることです。pam_unix.so削除して再起動しても何も解決されませんでした。

どうやって無効にしますかbroken_shadow?関連情報が見つかりません。

答え1

これは関係ないかもしれませんが、同じプロセス(私が作成したクライアントサーバーを使用)に従い、次の手順を実行して問題を解決しました。

  1. /etc/sssd/sssd.confのauthconfig-tuiで設定した内容がすべて一致していることを確認してください。
  2. /etc/sssd/sssd.confの権限を0600に設定します(すぐに適用されます)。これはユーザーにR / Wのみを与えるため、これがなぜ影響を与えるのかわかりませんが、RHEL7 SSSDクライアントのOracleガイドで見つけました。構成:https://docs.oracle.com/cd/E52668_01/E54669/html/ol7-sssd-ldap.html

編集:考えられる説明:https://pagure.io/SSSD/sssd/issue/1413

関連情報