Esse é o comportamento padrão, o RHEL restringe os usuários que usam o PAM, o nss tenta resolver todas as entradas de usuário / grupo disponíveis na base de pesquisa do ldap.
Pode haver situações em que o sistema tenha uma montagem nfs que inclua arquivos pertencentes a usuários que não têm acesso à máquina; você ainda poderá resolver os usuários se todos estiverem visíveis para o SO (o acesso é restrito pelo PAM, para que eles não consigam fazer o login).
Você pode usar uma das seguintes opções para alterar o comportamento.
-
Use SSSD, ele não irá enumerar usuários / grupos por padrão. (isto é, getent passwd listará apenas os usuários locais).
-
Use um filtro ldap para que apenas os usuários necessários fiquem visíveis para a máquina. Isso é possível somente se houver um filtro específico que possa ser usado para filtrar o usuário (por exemplo: usando um atributo memberof em um grupo).
-
Use o modo compat para filtrar os usuários.
por exemplo:
nsswitch.conf
passwd: files compat
passwd_compat: ldap
in passwd file, add +@netgroup.