debianstretchとsssd 1.15.0を実行するDockerコンテナがあります。
SFTP目的で使用し、LDAPSを介してユーザーを認証するように計画します。この例のLDAPプロバイダは、LDAPS機能を提供するAADDS(Azure Active Directory Domain Services)です。
これまで私は次のことができました:
- 単純バインディングが正常に実行されました。
- ポート636を「動作」としてマーク
- サーバーを「実行中」とマーク
- docker execを使用してコンテナに直接ログインし、成功したldapsearchを実行します(291個のオブジェクトが返されます)。
残念ながら、LDAP仮想ユーザーとしてコンテナにsshまたはsftpを関連付けることはできません。
両方のデバッグ出力を含むいくつかの関連情報は次のとおりです。
- コンテナの起動
- ユーザーがログインしようとします。
私は試した:
- バインディングユーザータイプの変更
- base_user OUの有無にかかわらず
- URIにポート636を追加するかどうか
- getentを使用したSSD認証テスト(失敗)(何も返しません)
- 完全なUPNの有無にかかわらず、ユーザー名のテスト(ユーザー対user@domain)
どんな助けでも大変感謝します。
何らかの理由でstackexchangeはこれがスパムのように見えると思うので、すべてのファイルを表示するために必要なコードブロックを追加できないようで、すべての詳細を含むポイントを作成しました。この内容をよりよく表現する方法がある場合はお知らせください。
https://gist.github.com/Lazarix/ed9792076680ead510220d6c8ebb8e6e
答え1
私はこの問題を解決したと信じています。具体的には、AADDSにLDAPプロバイダーとして接続するコンテキストでは、sssd.confの[domain / mydomain]セクションに次のオプションがありません。
ldap_schema=広告