isso funciona para mim usando o sssd-ldap em um servidor freeipa ldap (não usando o provedor idm integrado, mas o provedor sssd-ldap conforme solicitado).
- instale sssd-ldap e authoconfig
- executar
authconfig --enablesssd --enablesssdauth --enablelocauthorize --update
- crie o arquivo de configuração /etc/sssd/sssd.conf com suas informações apropriadas:
[domain/default] autofs_provider = ldap ldap_schema = rfc2307bis id_provider = ldap auth_provider = ldap chpass_provider = ldap ldap_uri = ldap://your.ldap.host ldap_id_use_start_tls = True cache_credentials = True ldap_tls_cacertdir = /etc/pki/tls/certs ldap_tls_cacert = /etc/pki/tls/certs/ca-bundle.crt ldap_default_bind_dn = uid=user1,cn=users,cn=accounts,dc=your,dc=domain,dc=tld ldap_default_authtok_type = password ldap_default_authtok = secretpassword ldap_user_search_base = cn=users,cn=accounts,dc=your,dc=domain,dc=tld ldap_group_search_base = cn=groups,cn=accounts,dc=your,dc=domain,dc=tld [sssd] services = nss, pam, autofs config_file_version = 2 domains = default [nss] homedir_substring = /home [pam] [sudo] [autofs] [ssh] [pac] [ifp]
- reinicie o serviço sssd:
systemctl restart sssd
- verifique se o sss está ativado no nsswitch.conf para passwd, groups e shadow. Não use o ldap no nsswitch.conf, ele deve ser "arquivos sss", não "arquivos ldap"
Se você não precisar de ligação para obter a lista de usuários, remova as diretivas ldap_default_bind_dn, ldap_default_authtok_type e ldap_default_authtok. Se você não precisar de tls, remova-os, mas estará autenticando os usuários, portanto, ele deve estar ativado. Modifique os caminhos para as diretivas cacertdir e cacert para corresponder à sua situação, como a base de pesquisa do usuário e do grupo.
Neste blog: link você encontre um howto semelhante. A documentação oficial da Red Hat está aqui: link
Como sempre, a prova está no pudim:
[root@localhost sssd]# grep user1 /etc/passwd
[root@localhost sssd]# getent passwd user1
user1:*:1076200004:1076200004:ipa user:/home/user1:/bin/sh