SSDを使用してLDAPに認証することはできません。

SSDを使用してLDAPに認証することはできません。

debianstretchとsssd 1.15.0を実行するDockerコンテナがあります。

SFTP目的で使用し、LDAPSを介してユーザーを認証するように計画します。この例のLDAPプロバイダは、LDAPS機能を提供するAADDS(Azure Active Directory Domain Services)です。

これまで私は次のことができました:

  • 単純バインディングが正常に実行されました。
  • ポート636を「動作」としてマーク
  • サーバーを「実行中」とマーク
  • docker execを使用してコンテナに直接ログインし、成功したldapsearchを実行します(291個のオブジェクトが返されます)。

残念ながら、LDAP仮想ユーザーとしてコンテナにsshまたはsftpを関連付けることはできません。

両方のデバッグ出力を含むいくつかの関連情報は次のとおりです。

  • コンテナの起動
  • ユーザーがログインしようとします。

私は試した:

  • バインディングユーザータイプの変更
  • base_user OUの有無にかかわらず
  • URIにポート636を追加するかどうか
  • getentを使用したSSD認証テスト(失敗)(何も返しません)
  • 完全なUPNの有無にかかわらず、ユーザー名のテスト(ユーザー対user@domain)

どんな助けでも大変感謝します。

何らかの理由でstackexchangeはこれがスパムのように見えると思うので、すべてのファイルを表示するために必要なコードブロックを追加できないようで、すべての詳細を含むポイントを作成しました。この内容をよりよく表現する方法がある場合はお知らせください。

https://gist.github.com/Lazarix/ed9792076680ead510220d6c8ebb8e6e

答え1

私はこの問題を解決したと信じています。具体的には、AADDSにLDAPプロバイダーとして接続するコンテキストでは、sssd.confの[domain / mydomain]セクションに次のオプションがありません。

ldap_schema=広告

関連情報