Ok, eu descobri. O esquema defalt para RH não é o mesmo que para o SLES.
Eu adicionei o ldap_schema = rfc2307bis ao sssd.conf
A razão pela qual alguns grupos foram listados foi porque esses grupos tinham o objectClass sambaGroupMapping.
Eu instalei o RHEL 6.2 e configurei para usar o LDAP com o utilitário de configuração e eu posso fazer o login.
O que é estranho é que apenas três grupos LDAP são reconhecidos por usuário. É diferente grupos, mesmo para usuários que pertencem aos mesmos grupos. O ID do intervalo de gid de 500 a 30000 +.
O servidor LDAP é openldap com o SLES usando seu esquema padrão.
De acordo com o meu conhecimento, não configurei nenhuma limitação ou filtro, então por que escolher apenas três grupos arbitrários?
Se você executar getent group , verá todos os grupos que espera ver? Quando você diz "apenas três grupos LDAP são reconhecidos por usuário", como você sabe? Você está executando groups ? Ou algo mais?
Se você consultar o servidor LDAP com ldapsearch , você recebe mais de três grupos? Os servidores geralmente têm um limite no número de resultados que retornarão como resultado de uma única consulta. Algo como isso pode funcionar (estou apenas supondo, já que não sei os detalhes da sua configuração):
ldapsearch -x -h your.ldap.server -LL objectlcass=posixgroup
Se o seu servidor tiver um limite de tamanho, você poderá ver isso no final da sua saída:
Size limit exceeded (4)
Se o comando ldapsearch retornar mais de três resultados ... bem, volte aqui e avise-nos e descobriremos o que verificar em seguida.