認証にLDAPを使用しようとしています。バインドDNとパスワードを提供しないと、RHEL 5では機能しませんが、RHEL 6と7では機能することがわかりました。
sssd ログを見ると、RHEL 6 と 7 でバインド DN で認証を試みるユーザー名を使用していますが、RHEL 5 では使用しないことがわかります。
たとえば、
ユーザー=サム、ベース=ou=人、ou=HR、o=MyOrg
RHEL 6&7 では、以下を実行してバインディングが成功します。
次のように単純バインディングを実行します。 uid=sam,ou=People,ou=HR,o=MyOrg
RHEL 5では次のようになります。
単純バインディングを実行する方法は次のとおりです。 (null)
サーバー側では Openquery は許可されません。したがって、RHEL 5では失敗します。 (サーバーは当社では管理しておりません。)
これはRHEL 6、7でsssdに追加された機能のようですが、RHEL 5でも同じ機能は可能ですか?
また、RHEL 6と7でldap.confを使用してみましたが、パスワードを提供する方法がわかりません。だから、これがSSSDに付属する機能だと思います。
答え1
認証されていないドメインの列挙を許可しないと仮定すると(おそらくは許可されません)、RHEL 6および7サーバーは実際にKerberosコンピュータアカウントを使用してドメインを認証し、認証されたLDAP検索を実行することを検討できます。特定のドメインへの認証された接続を維持するためにSSSDによって使用される標準メカニズム。