Sander Van VugtのRHEL7用RHCSA / RHCEブックの指示に従ってLDAP認証を設定しようとしています。第6章では、authconfig-tuiこのFORCELEGACYオプションを使用するときに設定するようにyes説明します/etc/sysconfig/authconfig。nslcd代わりにこのエントリを設定する必要がありますsssd。
私はこれが起こるとは思わない。 7.0または7.1でもそうかもしれませんが、7.3ではオプションはnoafter usingに設定されていますauthconfig-tui。
nslcdVSsssdの混乱を避けて練習を完了し、LDAPを介してそのユーザーを認証しようとすると、su - lara次のような結果のみが得られます。
su: user lara does not exist
FreeIPAサーバーがクエリに応答するために使用されていることを確認し、ldapsearchこれはユーザーがLDAPにあることを確認しました。しかし、これはsuLDAPの認証ではありません/etc/passwd。
私のPAM system-auth設定にはsssd必要な項目が含まれています。
auth sufficient pam_sss.so forward_pass
account [default=bad success=ok user_unknown=ignore] pam.sss.so
password sufficient pam_sss.so use_authtok
session optional pam_sss.so
私の/etc/nsswitch.confファイルには以下が含まれます。
passwd: files sss
shadow: files sss
group: files sss
サービスsssdが有効になっています。
/var/log/*またはにログエントリがありません/var/log/sssd/*。実際、sssdログには何も含まれていません。
編集する
少し読んだ後もまだ解決策が見つかりませんでしたが、より多くの情報があります。
sshLDAPサーバーに接続すると、laraというユーザーで認証できます。だから私はLDAPが実際に動作していることを知っています。
PAM私も構成を見ましたsu。プールsystem-authファイルは次のとおりです。
auth substack system-auth
account include system-auth
password include system-auth
session include system-auth
pam_sss.soしたがって、そのモジュールを暗黙的に使用する必要があります。
しかし、まだ解決していません。
編集2
IPAサーバーにローカルにログインするか、laraユーザーを使用してSSH経由でログインできたため、サーバーのpamファイルとクライアントのpamファイルを比較することにしました。私が確認できる唯一の違いは、顧客がアカウント項目broken_shadowに含まれることです。pam_unix.so削除して再起動しても何も解決されませんでした。
どうやって無効にしますかbroken_shadow?関連情報が見つかりません。
ベストアンサー1
これは関係ないかもしれませんが、同じプロセス(私が作成したクライアントサーバーを使用)に従い、次の手順を実行して問題を解決しました。
- /etc/sssd/sssd.confのauthconfig-tuiで設定した内容がすべて一致していることを確認してください。
- /etc/sssd/sssd.confの権限を0600に設定します(すぐに適用されます)。これはユーザーにR / Wのみを与えるため、これがなぜ影響を与えるのかわかりませんが、RHEL7 SSSDクライアントのOracleガイドで見つけました。構成:https://docs.oracle.com/cd/E52668_01/E54669/html/ol7-sssd-ldap.html
編集:考えられる説明:https://pagure.io/SSSD/sssd/issue/1413