当社のLDAPサーバーは、RFC 2307グループ(memberuidDNではなくユーザー名を含む)を実行しています。 //以前のnscd設定では、LDAPグループ属性にLDAP以外のユーザー(システムユーザー)を一覧表示でき、nss_ldapシステムpam_ldapユーザーはグループのメンバーになりました。/etc/passwdmemberuid
しかし、私がアップグレードしたコンピュータではSSD、これはもう機能しません。 SSSDは、単にメンバーリストからLDAP以外のユーザーを削除します。
ユーザーとしてログイン、使用、実行してidこの動作を確認しました。getent group group
ここに私のものがありますsssd.conf(いくつかの詳細は編集され、明確に表示されます)。
[sssd]
config_file_version = 2
services = nss, pam
domains = REDACTED.net
[nss]
# defaults are OK
[pam]
# defaults are OK
[domain/REDACTED.net]
enumerate = true
id_provider = ldap
auth_provider = ldap
access_provider = ldap
chpass_provider = ldap
ldap_uri = _srv_
ldap_chpass_uri = ldap://haruhi.REDACTED.net
ldap_search_base = dc=REDACTED,dc=net?subtree?
ldap_schema = rfc2307
ldap_tls_cacert = /usr/local/share/ca-certificates/REDACTED-CA.crt
ldap_id_use_start_tls = true
ldap_pwd_policy = shadow
ldap_access_filter = memberOf=cn=UNIX Users,ou=Policies,dc=REDACTED,dc=net
ldap_access_order = filter, authorized_service, host
ldap_default_bind_dn = uid=haruhi,ou=Machines,dc=REDACTED,dc=net
ldap_default_authtok = VERY_REDACTED
/etc/nsswitch.confpasswd/group/shadow の退屈な項目があります:
passwd: compat ldap sss
group: compat ldap sss
shadow: compat sss
(ldapはまだ存在しますが、実際にはもはやシステムにインストールされていません)
また、これが問題かどうか疑問です(他のコンピュータでも同じ動作を見たため)。ただし、このコンピュータHaruhiはOpenLDAPを実行しているデフォルトのLDAPサーバーでもあります。
SSSDの設定方法いいえLDAPグループからシステムユーザーを削除しますか?
ベストアンサー1
これは、sssd.conf を以下を含むように設定することによって sssd 1.9.5 で有効になります。
ldap_rfc2307_fallback_to_local_users = true