Warum gibt sssd unter Ubuntu SID-Nummern statt Gruppennamen zurück?

tag-icon tag-icon ubuntu sssd
Warum gibt sssd unter Ubuntu SID-Nummern statt Gruppennamen zurück?

Ich binSSD ausprobierenIch möchte krb5 zur Authentifizierung auf einem Ubuntu 18.04-Host verwenden und kann nicht herausfinden, wie ich die tatsächlichen Benutzergruppen anzeigen kann ( groupszeigt eine Art Windows-SID anstelle von für Menschen lesbaren Namen an). Die primäre Gruppe sieht ok aus (Domänenbenutzer...), aber der Rest (ergänzend) besteht aus Sxxx-Nummern. Ist das eine AD-Einstellung oder etwas mit meiner SSD-Konfiguration?

$ groups
Domain [email protected] [email protected] [email protected]...

sssd.conf

[nss]
   filter_groups        = root
   filter_users         = root
   reconnection_retries = 3

[pam]
   reconnection_retries = 3

[sssd]
   domains              = ad.mycorp.com
   config_file_version  = 2
   services             = nss, pam
   reconnection_retries = 3
   sbus_timeout         = 30

[domain/ad.mycorp.com]
   ad_domain            = ad.mycorp.com
   krb5_realm           = ad.mycorp.com
   realmd_tags          = manages-system joined-with-adcli
   cache_credentials    = True
   default_shell        = /bin/bash
   fallback_homedir     = /home/%d/%u

   krb5_store_password_if_offline   = True
   use_fully_qualified_names        = True

   ldap_sasl_authid     = UBU-TEST1$
   ldap_id_mapping      = True

   access_provider      = ldap
   id_provider          = ldap
   auth_provider        = krb5
   chpass_provider      = krb5

   ldap_uri             = ldaps://ad.mycorp.com
   ldap_search_base     = ou=mycorp,dc=mycorp,dc=com
   ldap_tls_cacert      = /etc/ssl/certs/ca-certificates.crt
   ldap_tls_reqcert     = allow
   dns_discovery_domain = ad.mycorp.com

   ldap_user_search_base   = ou=userid,ou=mycorp,dc=mycorp,dc=com
   ldap_group_search_base  = ou=mycorp,dc=mycorp,dc=com
   ldap_user_object_class  = user
   ldap_user_name          = sAMAccountName
   ldap_user_fullname      = displayName
   ldap_user_home_directory = unixHomeDirectory
   ldap_user_principal     = userPrincipalName
   ldap_group_object_class = group
   ldap_group_name         = sAMAccountName

   ldap_schema                = rfc2307bis
   ldap_access_order          = expire
   ldap_account_expire_policy = ad
   ldap_force_upper_case_realm = true

Antwort1

Das ist zwar schon etwas älter, aber ich dachte, ich teile die Lösung, die bei mir funktioniert hat.

Ich habe dies gelöst, indem ich der Datei sssd.conf im Abschnitt [domain/example.local] eine Zeile hinzugefügt habe:

ad_server = <domain controller name>.example.local

und behalten

ldap_id_mapping = True

Antwort2

ldap_id_mapping = false

Dadurch werden POSIX-Attribute aus Ihrem AD abgerufen.

Wenn Sie diese Option auf „True“ setzen, generiert sssd UID und GID aus SID.

Antwort3

Haben Sie den SSD-Cache geleert? #systemctl stop sssd; rm -r /var/lib/sss/db/* ; systemctl start sssd

Stellen Sie sicher, dass Sie POSIX-Attribute in AD festgelegt haben. Dies kann auch durch ldapsearch überprüft werden.

verwandte Informationen