LDAPからsudoerを取得する(SUSE Linux Enterprise Server 12)

LDAPからsudoerを取得する(SUSE Linux Enterprise Server 12)

SUSE Linux Enterprise Server 12のLDAP構成に問題があります。

多くの人が知っているように、ldap.confファイルはsssd.confやnsswitch.confなどの他のいくつかのconfファイルに置き換えられました。

特定のOUのユーザーを選択するためにLDAPを介して認証したいと思います。また、LDAPを介してsudoerの定義をインポートする必要があります。私はsssdを一度も使ったことがありません。

現在のNSS設定は次のとおりです。

passwd: files ldap
shadow: files ldap
group:  files ldap

hosts:  files dns
networks:       files

services:       files
protocols:      files
rpc:    files
ethers: files
netmasks:       files
netgroup:       files nis
publickey:      files

bootparams:     files
automount:      files nis
aliases:        files
passwd_compat:  files
group_compat:   files
sudoers:        ldap files [I added this line]

これは私のsssd.confです。

[sssd]
config_file_version = 2
services = nss, pam
domains = *****
sbus_timeout = 30

[nss]
filter_users = root
filter_groups = root
reconnection_retries = 3
entry_cache_timeout = 300
entry_cache_nowait_percentage = 75

[pam]

[domain/GuH]
id_provider = ldap
auth_provider = ldap
ldap_schema = rfc2307bis
ldap_user_object_class = posixAccount
debug_level = 20
#access_provider = ldap
ldap_uri = ldap://******.de
ldap_search_base = o=***
create_homedir = truei
ldap_tls_cacert = /etc/sssd/certs/*******.pem
ldap_tls_cacertdir = /etc/sssd/certs
ldap_id_use_start_tls = true
ldap_default_bind_dn = cn=********,o=guh
ldap_default_authtok_type = *******
ldap_default_authtok = *********
ldap_user_member_of = *********
ldap_group_name = cn=*******,ou=*******,ou=******,o=******

*が正しく入力されたとします。

また、PAM設定ファイルで実行することはありますか?この問題を解決する人を見たことはありません。

答え1

この練習Ubuntu 14.04で動作します。さらに、レッドハットページレビューに引用された内容が引用されなくなったようですauthconfig。主な内容は次のとおりです。

  • LDAPに含まれていない場合は、sudoersスキームをインポートします(schema.ActiveDirectoryたとえば、Active Directoryに必要です)。
  • 次のようにルールを作成します。sudoers-ldap マンページ(Active DirectoryではADSI編集などのツールを使用してください)
  • 含めるようetc/nsswitch.confに更新されました。ssssudoers =
  • アップデートには以下がetc/sssd/sssd.conf含まれます。
    • sudo〜サイservices =
    • 1行sudo_provider =(私の場合はadActive Directoryですが、そうかもしれませんldap
    • 空白[sudo]のセクション

多くの人がスタックのさまざまな部分にあるバグが原因で問題が発生しているため、以下を参照してください。この回答そしてこの問題質問がある場合。 FWIWこのガイドラインルールがsudoに渡されることを確認するのに十分なデバッグ情報を提供しました。特に次のようになります。

  • /etc/sudo.conf に次の行を追加します。

    Debug sudo /var/log/sudo_debug.log all@debug
    Debug sudoers.so /var/log/sudo_debug.log all@debug
    
  • デバッグするユーザーとして sudo コマンドを実行します。

関連情報