getent passwd não funciona; Autenticação LDAP do CentOS 7 e SSSD

8

Instalei o CentOS 7 em um novo servidor. Todos os meus servidores obtêm autenticação de usuário final através de LDAPS em vários sistemas como RHEL5, Debian e Solaris. Eu notei que há uma nova camada no CentOS 7, que é SSS acima de NSS e PAM. De qualquer forma, tento replicar o mesmo tipo de conexão que o outro servidor.

O comando ldapsearch -x é vinculativo no LDAP, mas não no LDAPS.

Enquanto pesquisava o problema, tentei fazer uma conexão no LDAP comprimindo a camada SSS, colocando essas linhas no meu /etc/nsswitch.conf

passwd:     files ldap #sss 
shadow:     files ldap #sss 
group:      files ldap #sss 

E adicionei esta linha no /etc/sssd/sssd.conf

cache_credentials = False

E eu reiniciei o ssd.

systemctl restart sssd

Eu verifico com o comando authconfig --test e tudo parece ok: ( link )

    
por dubis 30.10.2014 / 11:29

2 respostas

8

Não tenho certeza se essa é a solução correta, mas observei no FAQ do SSSD este ponto:

When should I enable enumeration in SSSD? or Why is enumeration disabled by default?

"Enumeration" is SSSD's term for "reading in and displaying all the values of a particular map (users, groups, etc.)". We disable this by default in the SSSD in order to minimize the load on the servers with which SSSD must communicate. In most operation, listing the complete set of users or groups will never be necessary. Applications will generally request information about specific users or groups.

Enumerating all entries has a negative impact in load on the server and performance on the client (as we have to save all of the complex relationships between users and the groups to which they belong in the local cache). So because of this, we ship with enumerations disabled (the same behavior as the Samba project's winbind).

You should only enable enumerations (and the resultant performance issues) if you have applications or scripts in your environment that absolutely must be able to retrieve the complete lists. In these cases, enumeration can be enabled by setting

   [domain/<domainname>]
   enumerate = true
   ...

in your sssd.conf file.

Isso permitiu que a habilidade getent passwd exibisse todas as contas disponíveis via SSSD. Esteja avisado que isso pode ser um empecilho no desempenho.

    
por 22.01.2015 / 20:08
0

OK, encontrei depois de ler este site: Site do Den de Diq

Eu achei que id enduser está funcionando, mas não getent passwd Eu fiz um su - enduser e eu estava na casa certa com o bom UID e GID.

A conexão ssh ainda não funciona, acho que está chegando. Se alguém pudesse me ajudar neste último ponto.

    
por 30.10.2014 / 14:07