Sander Van Vugt の RHEL7 向け RHCSA/RHCE ブックの指示に従って、LDAP 認証を設定しようとしています。第 6 章では、 を使用する場合、 で オプションが に設定されることが説明されていますauthconfig-tui。これFORCELEGACYは、の代わりにを構成することになっています。yes/etc/sysconfig/authconfignslcdsssd
noこれが起こるとは思えません。 7.0 や 7.1 でもそうだったかもしれませんが、7.3 では、 を使用した後にオプションが設定されますauthconfig-tui。
nslcdvs の混乱を脇に置いて、 LDAP 経由で該当ユーザーを認証するsssd演習を完了しようとすると、次の結果が得られます。su - lara
su: user lara does not exist
FreeIPA サーバーが を使用してクエリに応答していることを確認し、その際にユーザーが LDAP に存在することを確認しました。ただし、LDAP に対して認証しているのではなく、 でldapsearchあるように思われます。su/etc/passwd
私のPAM system-auth設定には、sssd必要と思われるエントリが含まれています。
auth sufficient pam_sss.so forward_pass
account [default=bad success=ok user_unknown=ignore] pam.sss.so
password sufficient pam_sss.so use_authtok
session optional pam_sss.so
私の/etc/nsswitch.confファイルには以下が含まれます:
passwd: files sss
shadow: files sss
group: files sss
サービスsssdはアクティブです。
/var/log/*またはにはログ エントリがありません/var/log/sssd/*。実際、どのsssdログにも何も含まれていません。
編集
いくつか読んでみたものの、まだ解決には至っていませんが、より多くの情報は得られました。
sshLDAP サーバーにログインすると、ユーザー lara として認証できます。つまり、LDAP が実際に動作していることがわかります。
PAMの設定も確認しましたsu。これはsystem-authファイルを取得しています:
auth substack system-auth
account include system-auth
password include system-auth
session include system-auth
したがって、モジュールを暗黙的に使用する必要がありますpam_sss.so。
しかし、まだ整理できません。
編集2
IPA サーバーにローカルまたは SSH 経由でユーザー lara でログインできるので、サーバー上の pam ファイルとクライアント上の pam ファイルを比較することにしました。私が特定できた唯一の違いは、クライアントbroken_shadowにpam_unix.soアカウント エントリが含まれていたことです。それを削除して再起動しましたが、何も修正されませんでした。
無効にするにはどうすればいいですかbroken_shadow? それに関する情報が見つかりません。
答え1
これは関係ないかもしれませんが、私も同じ手順 (自分で作成したクライアント サーバーを使用) で、次の操作を実行して問題を解決できました。
- /etc/sssd/sssd.confのauthconfig-tuiで設定した内容とすべて一致していることを確認しました
- /etc/sssd/sssd.conf の権限を 0600 に設定する (その後すぐに機能しました) - ユーザーに R/W のみを許可するため、これがなぜ違いを生むのかはわかりませんが、RHEL7 SSSD クライアント構成に関する Oracle ガイドで次の情報を見つけました。oracle.com/cd/E52668_01/E54669/html/ol7-sssd-ldap.html を参照してください。
編集: 考えられる説明:https://pagure.io/SSSD/sssd/issue/1413