Ich versuche, mit Chef einige lokale Benutzerkonten hinzuzufügen/zu ändern. Aus irgendeinem Grund gibt es doppelte Konten in LDAP. Da das System sssd/pam/ldap verwendet, sieht es den Benutzer als vorhanden an, kann ihn aber nicht ändern, da er nicht in /etc/passwd enthalten ist.
Gibt es eine Möglichkeit, die LDAP-Konten vollständig zu umgehen, sodass sie keine IDs erstellen? Dann erstellt Chef sie ordnungsgemäß.
Antwort1
Es gibt eine Option in der LDAP-Konfiguration, um LDAP-Lookups für bestimmte Benutzer-IDs zu ignorieren. In
/etc/ldap.conf
nss_initgroups_ignoreusers root,ldap,named,avahi,haldaemon,dbus,radvd,tomcat,radiusd,news,mailman
Es gibt auch diesen Konfigurationswert in der sssd-Konfigurationsdatei
filter_users, filter_groups (Zeichenfolge) Bestimmte Benutzer vom Abrufen aus der sss NSS-Datenbank ausschließen. Dies ist besonders nützlich für Systemkonten. Diese Option kann auch pro Domäne festgelegt werden oder vollqualifizierte Namen enthalten, um nur Benutzer aus der jeweiligen Domäne herauszufiltern. Standard: root