¿Por qué sssd devuelve números SID en lugar de nombres de grupos en Ubuntu?

tag-icon tag-icon ubuntu sssd
¿Por qué sssd devuelve números SID en lugar de nombres de grupos en Ubuntu?

Soyprobando sssduso krb5 para la autenticación en un host Ubuntu 18.04 y no puedo entender cómo mostrar los grupos de usuarios reales ( groupsmuestra algún tipo de SID de Windows en lugar de nombres legibles por humanos). El grupo principal parece correcto (Usuarios de dominio...) pero el resto (suplementario) son todos números Sxxx. ¿Es esta una configuración AD o algo así con mi configuración sssd?

$ groups
Domain [email protected] [email protected] [email protected]...

sssd.conf

[nss]
   filter_groups        = root
   filter_users         = root
   reconnection_retries = 3

[pam]
   reconnection_retries = 3

[sssd]
   domains              = ad.mycorp.com
   config_file_version  = 2
   services             = nss, pam
   reconnection_retries = 3
   sbus_timeout         = 30

[domain/ad.mycorp.com]
   ad_domain            = ad.mycorp.com
   krb5_realm           = ad.mycorp.com
   realmd_tags          = manages-system joined-with-adcli
   cache_credentials    = True
   default_shell        = /bin/bash
   fallback_homedir     = /home/%d/%u

   krb5_store_password_if_offline   = True
   use_fully_qualified_names        = True

   ldap_sasl_authid     = UBU-TEST1$
   ldap_id_mapping      = True

   access_provider      = ldap
   id_provider          = ldap
   auth_provider        = krb5
   chpass_provider      = krb5

   ldap_uri             = ldaps://ad.mycorp.com
   ldap_search_base     = ou=mycorp,dc=mycorp,dc=com
   ldap_tls_cacert      = /etc/ssl/certs/ca-certificates.crt
   ldap_tls_reqcert     = allow
   dns_discovery_domain = ad.mycorp.com

   ldap_user_search_base   = ou=userid,ou=mycorp,dc=mycorp,dc=com
   ldap_group_search_base  = ou=mycorp,dc=mycorp,dc=com
   ldap_user_object_class  = user
   ldap_user_name          = sAMAccountName
   ldap_user_fullname      = displayName
   ldap_user_home_directory = unixHomeDirectory
   ldap_user_principal     = userPrincipalName
   ldap_group_object_class = group
   ldap_group_name         = sAMAccountName

   ldap_schema                = rfc2307bis
   ldap_access_order          = expire
   ldap_account_expire_policy = ad
   ldap_force_upper_case_realm = true

Respuesta1

Esto es un poco antiguo, pero pensé en compartir la solución que funcionó para mí.

Resolví esto agregando una línea al archivo sssd.conf, en la sección [dominio/ejemplo.local]:

ad_server = <domain controller name>.example.local

y mantener

ldap_id_mapping = True

Respuesta2

ldap_id_mapping = false

Esto recuperará los atributos POSIX de su AD.

Si configura esta opción en Verdadero, sssd generará UID, GID a partir de SID.

Respuesta3

¿Borraste el caché sssd? #systemctl detener sssd; rm -r /var/lib/sss/db/* ; systemctl iniciar sssd

Asegúrese de tener los atributos POSIX configurados en AD. También podría ser verificado por ldapsearch.

información relacionada