Ich richte einen neuen CentOS 7-Server ein und muss die LDAP-Authentifizierung einrichten, d. h. es gibt bereits einen Server, der Benutzer authentifiziert, den wir für andere GNU/Linux-Server verwenden.
Beispielsweise kann ich in Windows den Hostnamen und die IP des DC mit abfragen nltest /dclist:X.Y. Dadurch wird eine Liste von DC-Servern zurückgegeben, deren Richtigkeit ich bestätigen kann.
ldapsearchWenn ich die Verbindung zu diesen DC-Servern auf dem CentOS 7-Server teste, funktioniert es:
ldapsearch -H ldap://<DCSERVER> -D <user>@X.Y -w
Die Ausgabe ist eine lange Liste mit Informationen, einschließlich DN-Informationen.
getent passwdBei Verwendung erfolgt jedoch keine Ausgabe und in /var/log/messages wird der Fehler angezeigt:
Nov 24 16:09:37 XXXXXXXX nslcd[22440]: [16e9e8] <passwd(all)> ldap_result() failed: Operations error: 000004DC: LdapErr: DSID-0C09072B, comment: In order to perform this operation a successful bind must be completed on the connection., data 0, v2580
getent passwordfunktioniert auf anderen CentOS 6-Servern einwandfrei, aber sie verwenden BeyondTrust, von dem ich migrieren möchte, und ich war zum Zeitpunkt der Installation nicht der Administrator.
Relevante Konfigurationsdateien:
/etc/openldap/ldap.confenthält:
#
# LDAP Defaults
#
# See ldap.conf(5) for details
# This file should be world readable but not world writable.
#BASE dc=example,dc=com
#URI ldap://ldap.example.com ldap://ldap-master.example.com:666
#SIZELIMIT 12
#TIMELIMIT 15
#DEREF never
TLS_CACERTDIR /etc/pki/tls/certs
# Turning this off breaks GSSAPI used with krb5 when rdns = false
SASL_NOCANON on
URI ldap://<DCSERVER>
BASE DC=X,DC=Y
/etc/nsswitch.confenthält:
#
# /etc/nsswitch.conf
#
# An example Name Service Switch config file. This file should be
# sorted with the most-used services at the beginning.
#
# The entry '[NOTFOUND=return]' means that the search for an
# entry should stop if the search in the previous entry turned
# up nothing. Note that if the search failed due to some other reason
# (like no NIS server responding) then the search continues with the
# next entry.
#
# Valid entries include:
#
# nisplus Use NIS+ (NIS version 3)
# nis Use NIS (NIS version 2), also called YP
# dns Use DNS (Domain Name Service)
# files Use the local files
# db Use the local database (.db) files
# compat Use NIS on compat mode
# hesiod Use Hesiod for user lookups
# [NOTFOUND=return] Stop searching if not found so far
#
# To use db, put the "db" in front of "files" for entries you want to be
# looked up first in the databases
#
# Example:
#passwd: db files nisplus nis
#shadow: db files nisplus nis
#group: db files nisplus nis
passwd: files ldap
shadow: files ldap
group: files ldap
#initgroups: files
#hosts: db files nisplus nis dns
hosts: files dns
# Example - obey only what nisplus tells us...
#services: nisplus [NOTFOUND=return] files
#networks: nisplus [NOTFOUND=return] files
#protocols: nisplus [NOTFOUND=return] files
#rpc: nisplus [NOTFOUND=return] files
#ethers: nisplus [NOTFOUND=return] files
#netmasks: nisplus [NOTFOUND=return] files
bootparams: nisplus [NOTFOUND=return] files
ethers: files
netmasks: files
networks: files
protocols: files
rpc: files
services: files sss
netgroup: files sss
publickey: nisplus
automount: files sss
aliases: files nisplus
/etc/nslcd.confenthält:
# This is the configuration file for the LDAP nameservice
# switch library's nslcd daemon. It configures the mapping
# between NSS names (see /etc/nsswitch.conf) and LDAP
# information in the directory.
# See the manual page nslcd.conf(5) for more information.
# The user and group nslcd should run as.
uid nslcd
gid ldap
# The uri pointing to the LDAP server to use for name lookups.
# Multiple entries may be specified. The address that is used
# here should be resolvable without using LDAP (obviously).
#uri ldap://127.0.0.1/
#uri ldaps://127.0.0.1/
#uri ldapi://%2fvar%2frun%2fldapi_sock/
# Note: %2f encodes the '/' used as directory separator
uri ldap://<DCSERVER>
# The LDAP version to use (defaults to 3
# if supported by client library)
#ldap_version 3
# The distinguished name of the search base.
base DC=X,DC=Y
# The distinguished name to bind to the server with.
# Optional: default is to bind anonymously.
#binddn cn=proxyuser,dc=example,dc=com
Vielen Dank im Voraus für Ihre Hilfe.
Antwort1
Es gibt eine Diskrepanz: Wenn Sie die SSDD-Protokolle überprüfen, verwenden Sie den SSDD-Daemon. Dann sollten Sie ihn aber in der Datei konfigurieren:
/etc/sssd/sssd.conf
nicht in /etc/nslcd.conf (gut für den pam-ldapd-Daemon).
Darüber hinaus:
- Die Syntax von sssd.conf und nslcd.conf ist sehr unterschiedlich.
- in /etc/nsswitch.conf wird der SSDSD-Daemon mit dem Schlüssel „sss“ (nicht „ldap“) referenziert.
Antwort2
Ich konnte dies nicht vollständig lösen.
Die Überprüfung /var/log/sssd/sssd_DOMAIN.logergab jedoch, dass SSS funktioniert, aber wahrscheinlich ein Problem mit einem falsch angegebenen DN vorliegt?
(Tue Nov 25 16:21:16 2014) [sssd[be[LDI.LAN]]] [sdap_process_result] (0x2000): Trace: ldap_result found nothing!
(Tue Nov 25 16:21:16 2014) [sssd[be[LDI.LAN]]] [sdap_process_result] (0x2000): Trace: sh[0x7fc9553ddde0], connected[1], ops[0x7fc9553ed2c0], ldap[0x7fc9553d0cb0]
(Tue Nov 25 16:21:16 2014) [sssd[be[LDI.LAN]]] [sdap_process_message] (0x4000): Message type: [LDAP_RES_SEARCH_RESULT]
(Tue Nov 25 16:21:16 2014) [sssd[be[LDI.LAN]]] [sdap_get_generic_ext_done] (0x0400): Search result: Operations error(1), 000004DC: LdapErr: DSID-0C090724, comment: In order to perform this operation a successful bind must be completed on the connection., data 0, v23f0
Am Ende habe ich mich für das Open-Source-PBIS von Beyond Trust entschieden. Hat in wenigen Minuten funktioniert.
http://www.beyondtrust.com/Resources/OpenSourceDocumentation/