getent passwd funktioniert nicht; CentOS 7- und SSSD-LDAP-Authentifizierung

9

Ich habe CentOS 7 auf einem brandneuen Server installiert. Alle meine Server erhalten eine Endbenutzerauthentifizierung über LDAPS auf verschiedenen Systemen wie RHEL5, Debian und Solaris. Mir ist aufgefallen, dass es unter CentOS 7 eine neue Schicht gibt, die SSS über NSS und PAM ist. Auf jeden Fall versuche ich, den gleichen Verbindungstyp wie den anderen Server zu replizieren.

Der Befehl ldapsearch -xist in LDAP bindend, jedoch nicht in LDAPS.

Während ich das Problem ausgrub, versuchte ich, eine Verbindung in LDAP herzustellen, indem ich die SSS-Schicht drückte und diese Zeilen in meine einfügte /etc/nsswitch.conf

passwd:     files ldap #sss 
shadow:     files ldap #sss 
group:      files ldap #sss 

Und ich habe diese Zeile in die /etc/sssd/sssd.conf

cache_credentials = False

Und ich habe ssd neu gestartet.

systemctl restart sssd

Ich überprüfe mit dem Befehl authconfig --testund alles scheint in Ordnung zu sein: ( http://www.heypasteit.com/clip/1LZ2 )

Dubis
quelle

Antworten:

9

Ich bin mir nicht sicher, ob dies die richtige Lösung ist, habe aber in den SSSD-FAQ diesen Punkt bemerkt :

Wann sollte ich die Aufzählung in SSSD aktivieren? oder Warum ist die Aufzählung standardmäßig deaktiviert?

"Aufzählung" ist der SSSD-Begriff für "Einlesen und Anzeigen aller Werte einer bestimmten Karte (Benutzer, Gruppen usw.)". Wir deaktivieren dies standardmäßig in der SSSD, um die Belastung der Server, mit denen die SSSD kommunizieren muss, zu minimieren. In den meisten Fällen ist es niemals erforderlich, den gesamten Satz von Benutzern oder Gruppen aufzulisten. Anwendungen fordern im Allgemeinen Informationen zu bestimmten Benutzern oder Gruppen an.

Das Auflisten aller Einträge wirkt sich negativ auf die Auslastung des Servers und die Leistung des Clients aus (da alle komplexen Beziehungen zwischen Benutzern und den Gruppen, zu denen sie gehören, im lokalen Cache gespeichert werden müssen). Aus diesem Grund versenden wir mit deaktivierten Aufzählungen (dasselbe Verhalten wie beim Winbind des Samba-Projekts).

Sie sollten Aufzählungen (und die daraus resultierenden Leistungsprobleme) nur aktivieren, wenn Sie Anwendungen oder Skripte in Ihrer Umgebung haben, die unbedingt in der Lage sein müssen, die vollständigen Listen abzurufen. In diesen Fällen kann die Aufzählung durch Festlegen aktiviert werden

   [domain/<domainname>]
   enumerate = true
   ...

in Ihrer sssd.conf-Datei.

Dies ermöglichte die getent passwdAnzeige aller Konten, die über SSSD verfügbar waren. Seien Sie gewarnt, dass dies eine Leistungsverschlechterung sein kann.

slm
quelle