getent グループは機能しますが、sshd_config allowedgroups が適切なグループを取得できませんでした。

getent グループは機能しますが、sshd_config allowedgroups が適切なグループを取得できませんでした。

Debian Jessie で OpenLdap を使用して Kerberos MIT 認証設定を自動化しようとしています。

Kerberosアカウントを使用してSSHにログインできるため、認証部分は正常に機能します。

pam_mkhomedir.so を使用してユーザーのホームディレクトリを作成することもできます。

ただし、Ldap posixGroupを使用してSSHサーバーへのアクセスを許可することはできません。

これが出力ですgetent group

getent group | grep tupac
adminsLinux:*:3000:uid=tupac,ou=people,dc=maytacapac,dc=inc

これはsshd_configから抜粋したものです:

AllowGroups adminsLinux

以下はログファイルです。

sshd[3305]: User tupac from a.b.c.d not allowed because not in any group
sshd[3305]: input_userauth_request: invalid user tupac [preauth]
sshd[3305]: Connection closed by a.b.c.d [preauth]

これがid tupac出力です

uid=20003(tupac) gid=20003 groups=20003

tupacユーザーはどのUnixグループにも属していませんが、OpenLdap posixGroupベースのアクセスを許可したいと思います。私は/etc/nsswitch.conf設定とgetentグループチェックがposixGroupsベースのアクセス権を与えるのに十分だと思います。

答え1

uid=tupac,ou=people,dc=maytacapac,dc=inc私が見たほとんどのLDAPは、LDAP DNは含まず、ユーザー名だけを含むグループメンバーシップを提供するため、正しくないようです。したがって、これを確認したいと思いますadminsLinux:*:3000:tupac

関連情報