奇妙なことが起こりました。設定しようとするのにsssd設定が難しいですね。ldap_id_use_start_tlssssd.conf
私はsssd.conf次の構成を持っています:
[domain]
ldap_id_use_start_tls = true
ldap_tls_cacert = /path/to/cert.pem
ldap_tls_reqcert = never
このオプションを有効にすると、サーバーは新しいアカウントにログインできず、パスワードが無効であることを示すメッセージのみが表示されます。
TLSオプションをオフにすると、すべてが期待どおりに機能し、新しいログインは自動ホームディレクトリを取得します。
以下を使用して証明書を確認しようとしましたldapsearch。
ldapsearch -D "DN of user" -W -h ldap.server.com -b "dc=ad,dc=site,dc=com" -s sub -ZZ "(objectclass=*)"
このクエリは、私が期待するすべてのldiff情報を返します。 OpenLDAPによると、LDAPサーバー証明書に問題はありません。
なぜsssd失敗ldap_id_use_start_tlsしましたが、ldapsearchうまくいくと思いますか?
答え1
最初の2つのオプションでのみ機能することを確認してください。
ldap_id_use_start_tls = true
ldap_tls_cacert = /path/to/cert.pem
また、cert.pem正しい権限があることを確認してください0600 root:root。
答え2
ldap.server.com サーバーに TLS 接続に必要な証明書がないためです。 "ldap_id_use_start_tls=false" が機能します。この場合、ldapsearch コマンドはプレーンテキスト接続を要求します。