O sssd pode fornecer associação a grupos entre domínios?

2

Como posso fazer com que sssd procure associações a grupos em todos os domínios configurados?

Dada a configuração abaixo, tanto alice (@bar) como bob (@foo) devem ser membros do testgroup (@bar). No entanto, apenas alice é considerado um membro do grupo de teste por sssd.

Olhando para uma captura do tcpdump, parece que o alice só procura por (&(&(member=uid=alice,ou=users,dc=bar,dc=example,dc=com)(objectClass=posixGroup))(cn=*)) dentro do escopo ou=groups,dc=bar,dc=example,dc=com e o bob procura somente por (&(&(member=uid=bob,ou=users,dc=foo,dc=example,dc=com)(objectClass=posixGroup))(cn=*)) no escopo ou=groups,dc=foo,dc=example,dc=com .

Como posso alterar o comportamento do sssd (ou do meu back-end OpenLDAP) para permitir a associação entre domínios?

dn: cn=testgroup,ou=groups,dc=bar,dc=example,dc=com
objectClass: groupOfNames
objectClass: posixGroup
cn: testgroup
gidNumber: 54321
member: uid=alice,ou=users,dc=bar,dc=example,dc=com
member: uid=bob,ou=users,dc=foo,dc=example,dc=com


[sssd]
config_file_version = 2
services = nss, pam, autofs
domains = FOO.EXAMPLE.COM, BAR.EXAMPLE.COM

[nss]
filter_groups = root
filter_users = root
reconnection_retries = 3

[pam]
reconnection_retries = 3

[autofs]

[domain/FOO.EXAMPLE.COM]
id_provider = ldap
auth_provider = krb5
chpass_provider = krb5
ldap_uri = _srv_
ldap_search_base = dc=foo,dc=example,dc=com
ldap_user_search_base = ou=users,dc=foo,dc=example,dc=com?onelevel?
ldap_group_search_base = ou=groups,dc=foo,dc=example,dc=com?onelevel?
ldap_schema = rfc2307bis
ldap_sasl_mech = GSSAPI
krb5_realm = FOO.EXAMPLE.COM

ldap_autofs_entry_key = automountKey
ldap_autofs_map_name = automountMapName
ldap_autofs_search_base = ou=automount,dc=foo,dc=example,dc=com

[domain/BAR.EXAMPLE.COM]
id_provider = ldap
auth_provider = ldap
chpass_provider = ldap
ldap_uri = _srv_
ldap_search_base = dc=bar,dc=example,dc=com
ldap_user_search_base = ou=users,dc=bar,dc=example,dc=com?onelevel?
ldap_group_search_base = ou=groups,dc=bar,dc=example,dc=com?onelevel?
ldap_schema = rfc2307bis
ldap_sasl_mech = GSSAPI

ldap_autofs_entry_key = automountKey
ldap_autofs_map_name = automountMapName
ldap_autofs_search_base = ou=automount,dc=bar,dc=example,dc=com
    
por 84104 17.08.2016 / 00:25

2 respostas

0

Use vários ldap_*_search_base s dentro de um domínio.

ldap_user_search_base = ou=users,dc=bar,dc=example,dc=com?onelevel??ou=users,dc=foo,dc=example,dc=com?onelevel?
ldap_group_search_base = ou=groups,dc=bar,dc=example,dc=com?onelevel??ou=groups,dc=foo,dc=example,dc=com?onelevel?
    
por 17.08.2016 / 01:11
0

O SSSD não suporta associações entre domínios entre duas sub-rotinas [domínio] diferentes. No entanto, se o seu servidor for AD, você pode usar apenas id_provider = ad, então grupos com escopo universal devem ser resolvidos com sssd.

    
por 17.08.2016 / 09:31

Tags