SSSDを使用してLDAPグループにシステムユーザーを追加する

SSSDを使用してLDAPグループにシステムユーザーを追加する

当社のLDAPサーバーは、RFC 2307グループ(memberuidDNではなくユーザー名を含む)を実行しています。 //以前のnscd設定では、LDAPグループ属性にLDAP以外のユーザー(システムユーザー)を一覧表示でき、nss_ldapシステムpam_ldapユーザーはグループのメンバーになりました。/etc/passwdmemberuid

しかし、私がアップグレードしたコンピュータではSSD、これはもう機能しません。 SSSDは、単にメンバーリストからLDAP以外のユーザーを削除します。

ユーザーとしてログイン、使用、実行してidこの動作を確認しました。getent group group

ここに私のものがありますsssd.conf(いくつかの詳細は編集され、明確に表示されます)。

[sssd]
config_file_version = 2
services = nss, pam
domains = REDACTED.net

[nss]
# defaults are OK

[pam]
# defaults are OK

[domain/REDACTED.net]
enumerate = true
id_provider = ldap
auth_provider = ldap
access_provider = ldap
chpass_provider = ldap

ldap_uri = _srv_
ldap_chpass_uri = ldap://haruhi.REDACTED.net
ldap_search_base = dc=REDACTED,dc=net?subtree?
ldap_schema = rfc2307
ldap_tls_cacert = /usr/local/share/ca-certificates/REDACTED-CA.crt
ldap_id_use_start_tls = true
ldap_pwd_policy = shadow

ldap_access_filter = memberOf=cn=UNIX Users,ou=Policies,dc=REDACTED,dc=net
ldap_access_order = filter, authorized_service, host

ldap_default_bind_dn = uid=haruhi,ou=Machines,dc=REDACTED,dc=net
ldap_default_authtok = VERY_REDACTED

/etc/nsswitch.confpasswd/group/shadow の退屈な項目があります:

passwd:         compat ldap sss
group:          compat ldap sss
shadow:         compat sss

(ldapはまだ存在しますが、実際にはもはやシステムにインストールされていません)

また、これが問題かどうか疑問です(他のコンピュータでも同じ動作を見たため)。ただし、このコンピュータHaruhiはOpenLDAPを実行しているデフォルトのLDAPサーバーでもあります。

SSSDの設定方法いいえLDAPグループからシステムユーザーを削除しますか?

答え1

これは、sssd.conf を以下を含むように設定することによって sssd 1.9.5 で有効になります。

ldap_rfc2307_fallback_to_local_users = true

https://fedorahosted.org/sssd/wiki/Releases/Notes-1.9.5

関連情報