Sander Van VugtのRHEL7用RHCSA / RHCEブックの指示に従ってLDAP認証を設定しようとしています。第6章では、authconfig-tui
このFORCELEGACY
オプションを使用するときに設定するようにyes
説明します/etc/sysconfig/authconfig
。nslcd
代わりにこのエントリを設定する必要がありますsssd
。
私はこれが起こるとは思わない。 7.0または7.1でもそうかもしれませんが、7.3ではオプションはno
after usingに設定されていますauthconfig-tui
。
nslcd
VSsssd
の混乱を避けて練習を完了し、LDAPを介してそのユーザーを認証しようとすると、su - lara
次のような結果のみが得られます。
su: user lara does not exist
FreeIPAサーバーがクエリに応答するために使用されていることを確認し、ldapsearch
これはユーザーがLDAPにあることを確認しました。しかし、これはsu
LDAPの認証ではありません/etc/passwd
。
私のPAM
system-auth
設定にはsssd
必要な項目が含まれています。
auth sufficient pam_sss.so forward_pass
account [default=bad success=ok user_unknown=ignore] pam.sss.so
password sufficient pam_sss.so use_authtok
session optional pam_sss.so
私の/etc/nsswitch.conf
ファイルには以下が含まれます。
passwd: files sss
shadow: files sss
group: files sss
サービスsssd
が有効になっています。
/var/log/*
またはにログエントリがありません/var/log/sssd/*
。実際、sssd
ログには何も含まれていません。
編集する
少し読んだ後もまだ解決策が見つかりませんでしたが、より多くの情報があります。
ssh
LDAPサーバーに接続すると、laraというユーザーで認証できます。だから私はLDAPが実際に動作していることを知っています。
PAM
私も構成を見ましたsu
。プールsystem-auth
ファイルは次のとおりです。
auth substack system-auth
account include system-auth
password include system-auth
session include system-auth
pam_sss.so
したがって、そのモジュールを暗黙的に使用する必要があります。
しかし、まだ解決していません。
編集2
IPAサーバーにローカルにログインするか、laraユーザーを使用してSSH経由でログインできたため、サーバーのpamファイルとクライアントのpamファイルを比較することにしました。私が確認できる唯一の違いは、顧客がアカウント項目broken_shadow
に含まれることです。pam_unix.so
削除して再起動しても何も解決されませんでした。
どうやって無効にしますかbroken_shadow
?関連情報が見つかりません。
答え1
これは関係ないかもしれませんが、同じプロセス(私が作成したクライアントサーバーを使用)に従い、次の手順を実行して問題を解決しました。
- /etc/sssd/sssd.confのauthconfig-tuiで設定した内容がすべて一致していることを確認してください。
- /etc/sssd/sssd.confの権限を0600に設定します(すぐに適用されます)。これはユーザーにR / Wのみを与えるため、これがなぜ影響を与えるのかわかりませんが、RHEL7 SSSDクライアントのOracleガイドで見つけました。構成:https://docs.oracle.com/cd/E52668_01/E54669/html/ol7-sssd-ldap.html
編集:考えられる説明:https://pagure.io/SSSD/sssd/issue/1413