Instalé CentOS 7 en un servidor nuevo. Todos mis servidores obtienen autenticación de usuario final a través de LDAPS en varios sistemas como RHEL5, Debian y Solaris. Noté que hay una nueva capa en CentOS 7 que es SSS por encima de NSS y PAM. De todos modos, intento replicar el mismo tipo de conexión que el otro servidor.
El comando ldapsearch -xes vinculante en LDAP, pero no en LDAPS.
Mientras investigaba el problema, intenté hacer una conexión en LDAP exprimiendo la capa SSS poniendo estas líneas en mi/etc/nsswitch.conf
passwd: files ldap #sss
shadow: files ldap #sss
group: files ldap #sss
Y agregué esta línea en el/etc/sssd/sssd.conf
cache_credentials = False
Y reinicié el ssd.
systemctl restart sssd
Lo verifico con el comando authconfig --testy todo parece estar bien: (http://www.heypasteit.com/clip/1LZ2)
Respuesta1
No estoy seguro de si esta es la solución adecuada, pero noté en elPreguntas frecuentes sobre SSSDeste punto:
¿Cuándo debo habilitar la enumeración en SSSD? o ¿Por qué la enumeración está deshabilitada de forma predeterminada?
"Enumeración" es el término de SSSD para "leer y mostrar todos los valores de un mapa en particular (usuarios, grupos, etc.)". Deshabilitamos esto de forma predeterminada en SSSD para minimizar la carga en los servidores con los que SSSD debe comunicarse. En la mayoría de las operaciones, nunca será necesario enumerar el conjunto completo de usuarios o grupos. Las aplicaciones generalmente solicitarán información sobre usuarios o grupos específicos.
Enumerar todas las entradas tiene un impacto negativo en la carga del servidor y el rendimiento del cliente (ya que tenemos que guardar todas las relaciones complejas entre los usuarios y los grupos a los que pertenecen en el caché local). Debido a esto, enviamos con enumeraciones deshabilitadas (el mismo comportamiento que winbind del proyecto Samba).
Sólo debe habilitar las enumeraciones (y los problemas de rendimiento resultantes) si tiene aplicaciones o scripts en su entorno que absolutamente deben poder recuperar las listas completas. En estos casos, la enumeración se puede habilitar configurando
[domain/<domainname>] enumerate = true ...en su archivo sssd.conf.
Esto permitió la capacidad de getent passwdmostrar todas las cuentas que estaban disponibles a través de SSSD. Tenga en cuenta que esto puede afectar el rendimiento.