Estou tentando configurar a autenticação LDAP de acordo com as instruções no livro RHCSA / RHCE de Sander Van Vugt para o RHEL7. No capítulo 6, ele explica que, ao usar authconfig-tui
, a opção FORCELEGACY
está definida como yes
in /etc/sysconfig/authconfig
. Isso deve configurar nslcd
em vez de sssd
.
Eu não vejo isso acontecendo. Talvez tenha sido assim em 7.0 ou até 7.1, mas em 7.3 a opção está definida para no
depois de usar authconfig-tui
.
Se eu deixar de lado a confusão nslcd
vs sssd
e tentar completar o exercício que leva a executar su - lara
para autenticar via LDAP para o usuário, eu simplesmente obtenho:
su: user lara does not exist
Verifiquei que o servidor FreeIPA está respondendo a consultas usando ldapsearch
e, ao fazer isso, confirmou que o usuário está no LDAP. Parece-me, no entanto, que su
não está autenticando em relação ao LDAP, mas sim /etc/passwd
.
Minha configuração PAM
system-auth
inclui as entradas sssd
que parecem ser necessárias:
auth sufficient pam_sss.so forward_pass
account [default=bad success=ok user_unknown=ignore] pam.sss.so
password sufficient pam_sss.so use_authtok
session optional pam_sss.so
Meu arquivo /etc/nsswitch.conf
contém:
passwd: files sss
shadow: files sss
group: files sss
O serviço sssd
está ativo.
Não há entradas de registro em /var/log/*
ou /var/log/sssd/*
. Na verdade, nenhum dos sssd
logs contém nada.
EDITAR
Depois de algumas leituras eu ainda não estou mais perto de uma solução para isso, no entanto, eu tenho mais informações.
Eu sou capaz de autenticar como usuário lara se eu ssh
no servidor LDAP. Então eu sei que o LDAP está realmente funcionando.
Eu também observei o PAM
config para su
. Isso está puxando o arquivo system-auth
:
auth substack system-auth
account include system-auth
password include system-auth
session include system-auth
por isso, deve usar o módulo pam_sss.so
implicitamente.
Ainda não é possível resolver isso.
EDIT 2
Sendo capaz de acessar o servidor IPA localmente ou via SSH com lara de usuário, decidi comparar os arquivos pam com os do cliente. A única diferença que consegui determinar é que o cliente continha broken_shadow
com a entrada da conta pam_unix.so
. Eu removi e até reinicializei mas não consertei nada.
Como desativo o broken_shadow
? Não consigo encontrar nada sobre isso.