O usuário LDAP não existe ao executar 'su'

2

Estou tentando configurar a autenticação LDAP de acordo com as instruções no livro RHCSA / RHCE de Sander Van Vugt para o RHEL7. No capítulo 6, ele explica que, ao usar authconfig-tui , a opção FORCELEGACY está definida como yes in /etc/sysconfig/authconfig . Isso deve configurar nslcd em vez de sssd .

Eu não vejo isso acontecendo. Talvez tenha sido assim em 7.0 ou até 7.1, mas em 7.3 a opção está definida para no depois de usar authconfig-tui .

Se eu deixar de lado a confusão nslcd vs sssd e tentar completar o exercício que leva a executar su - lara para autenticar via LDAP para o usuário, eu simplesmente obtenho:

su: user lara does not exist

Verifiquei que o servidor FreeIPA está respondendo a consultas usando ldapsearch e, ao fazer isso, confirmou que o usuário está no LDAP. Parece-me, no entanto, que su não está autenticando em relação ao LDAP, mas sim /etc/passwd .

Minha configuração PAM system-auth inclui as entradas sssd que parecem ser necessárias:

auth        sufficient    pam_sss.so forward_pass
account     [default=bad success=ok user_unknown=ignore] pam.sss.so
password    sufficient    pam_sss.so use_authtok
session     optional      pam_sss.so

Meu arquivo /etc/nsswitch.conf contém:

passwd:    files sss
shadow:    files sss
group:     files sss

O serviço sssd está ativo.

Não há entradas de registro em /var/log/* ou /var/log/sssd/* . Na verdade, nenhum dos sssd logs contém nada.

EDITAR

Depois de algumas leituras eu ainda não estou mais perto de uma solução para isso, no entanto, eu tenho mais informações.

Eu sou capaz de autenticar como usuário lara se eu ssh no servidor LDAP. Então eu sei que o LDAP está realmente funcionando.

Eu também observei o PAM config para su . Isso está puxando o arquivo system-auth :

auth        substack        system-auth
account     include         system-auth
password    include         system-auth
session     include         system-auth

por isso, deve usar o módulo pam_sss.so implicitamente.

Ainda não é possível resolver isso.

EDIT 2

Sendo capaz de acessar o servidor IPA localmente ou via SSH com lara de usuário, decidi comparar os arquivos pam com os do cliente. A única diferença que consegui determinar é que o cliente continha broken_shadow com a entrada da conta pam_unix.so . Eu removi e até reinicializei mas não consertei nada.

Como desativo o broken_shadow ? Não consigo encontrar nada sobre isso.

    
por theillien 28.04.2017 / 07:04

1 resposta

0

Isso pode não estar relacionado, mas estou seguindo o mesmo curso (com um servidor cliente da minha criação) e consegui corrigi-lo fazendo o seguinte:

  1. Verificando tudo corresponde ao que eu configurei no authconfig-tui em /etc/sssd/sssd.conf
  2. Definindo as permissões em /etc/sssd/sssd.conf para 0600 (funcionou imediatamente depois disso) - Não tenho certeza de por que isso fez a diferença, já que ele concede ao usuário R / W, mas eu o achei sob um guia da Oracle para configuração do RHEL7 SSSD Client: link

Espero que isso ajude se você ainda não o tiver classificado!

EDIT: Explicação possível: link

    
por 14.07.2017 / 07:40

Tags