Ich habe CentOS 7 auf einem brandneuen Server installiert. Alle meine Server erhalten Endbenutzerauthentifizierung über LDAPS auf verschiedenen Systemen wie RHEL5, Debian und Solaris. Mir ist aufgefallen, dass es auf CentOS 7 eine neue Schicht gibt, nämlich SSS über NSS und PAM. Wie auch immer, ich versuche, denselben Verbindungstyp wie der andere Server zu replizieren.
Der Befehl ldapsearch -xist in LDAP bindend, aber nicht in LDAPS.
Während ich das Problem untersuchte, versuchte ich eine Verbindung in LDAP herzustellen, indem ich die SSS-Schicht komprimierte und diese Zeilen in meinen/etc/nsswitch.conf
passwd: files ldap #sss
shadow: files ldap #sss
group: files ldap #sss
Und ich habe diese Zeile in der/etc/sssd/sssd.conf
cache_credentials = False
Und ich habe die SSD neu gestartet.
systemctl restart sssd
Ich überprüfe mit dem Befehl authconfig --testund alles scheint in Ordnung zu sein: (http://www.heypasteit.com/clip/1LZ2)
Antwort1
Ich bin nicht sicher, ob dies die richtige Lösung ist, habe aber in derHäufig gestellte Fragen zu SSSDdieser Punkt:
Wann sollte ich die Enumeration in SSSD aktivieren? oder Warum ist die Enumeration standardmäßig deaktiviert?
„Enumeration“ ist der SSSD-Begriff für „Einlesen und Anzeigen aller Werte einer bestimmten Karte (Benutzer, Gruppen usw.)“. Wir deaktivieren dies standardmäßig im SSSD, um die Belastung der Server, mit denen SSSD kommunizieren muss, zu minimieren. In den meisten Fällen ist es nie notwendig, den vollständigen Satz von Benutzern oder Gruppen aufzulisten. Anwendungen fordern im Allgemeinen Informationen zu bestimmten Benutzern oder Gruppen an.
Das Aufzählen aller Einträge wirkt sich negativ auf die Serverlast und die Leistung des Clients aus (da wir alle komplexen Beziehungen zwischen Benutzern und den Gruppen, zu denen sie gehören, im lokalen Cache speichern müssen). Aus diesem Grund werden Aufzählungen bei der Auslieferung deaktiviert (dasselbe Verhalten wie bei Winbind des Samba-Projekts).
Sie sollten Aufzählungen (und die daraus resultierenden Leistungsprobleme) nur aktivieren, wenn Sie in Ihrer Umgebung Anwendungen oder Skripte haben, die unbedingt die vollständigen Listen abrufen können müssen. In diesen Fällen können Sie die Aufzählung aktivieren, indem Sie
[domain/<domainname>] enumerate = true ...in Ihrer Datei sssd.conf.
Dadurch konnten getent passwdalle Konten angezeigt werden, die über SSSD verfügbar waren. Beachten Sie, dass dies die Leistung beeinträchtigen kann.