Sander Van Vugt의 RHEL7용 RHCSA/RHCE 책의 지침에 따라 LDAP 인증을 설정하려고 합니다. 6장에서 그는 옵션을 사용할 때 로 authconfig-tui설정 되어 FORCELEGACY있다고 설명합니다 . 대신에 구성해야 합니다 .yes/etc/sysconfig/authconfignslcdsssd
나는 이런 일이 일어나는 것을 보지 못했습니다. 아마도 7.0이나 심지어 7.1에서도 그랬을 것입니다. 그러나 7.3에서는 옵션 no이 authconfig-tui.
nslcd대 혼란을 제쳐두고 LDAP를 통해 해당 사용자에 대한 인증을 sssd실행하는 연습을 완료하려고 시도하면 다음과 같은 결과가 나타납니다.su - lara
su: user lara does not exist
FreeIPA 서버가 쿼리에 응답하고 있음을 확인했으며 ldapsearch이를 통해 사용자가 LDAP에 있음을 확인했습니다. 하지만 그것은 suLDAP에 대해 인증하는 것이 아니라 대신에 인증하는 것 같습니다 /etc/passwd.
내 PAM system-auth구성에는 sssd필요한 항목이 포함되어 있습니다.
auth sufficient pam_sss.so forward_pass
account [default=bad success=ok user_unknown=ignore] pam.sss.so
password sufficient pam_sss.so use_authtok
session optional pam_sss.so
내 /etc/nsswitch.conf파일에는 다음이 포함됩니다.
passwd: files sss
shadow: files sss
group: files sss
서비스 sssd가 활성화되어 있습니다.
/var/log/*또는 에 로그 항목이 없습니다 /var/log/sssd/*. 실제로 sssd로그에는 아무것도 포함되어 있지 않습니다.
편집하다
좀 읽어본 후에도 아직 이에 대한 해결책에 더 가까워지지는 않았지만 더 많은 정보가 있습니다.
sshLDAP 서버에 로그인 하면 lara 사용자로 인증할 수 있습니다 . 그래서 나는 LDAP가 실제로 작동하고 있다는 것을 알고 있습니다.
PAM에 대한 구성 도 살펴보았습니다 su. 파일 을 가져오는 중입니다 system-auth.
auth substack system-auth
account include system-auth
password include system-auth
session include system-auth
따라서 모듈을 암시적으로 사용해야 합니다 pam_sss.so.
그런데 아직도 정리가 안 되네요.
편집 2
로컬로 또는 사용자 lara를 사용하여 SSH를 통해 IPA 서버에 로그인할 수 있으므로 서버에 있는 pam 파일을 클라이언트의 파일과 비교하기로 결정했습니다. 내가 확인할 수 있었던 유일한 차이점은 클라이언트가 계정 항목 broken_shadow에 포함되어 있다는 것입니다 pam_unix.so. 제거하고 재부팅도 해봤지만 아무 것도 해결되지 않았습니다.
어떻게 비활성화합니까 broken_shadow? 나는 그것에 대해 아무것도 찾을 수 없습니다.
답변1
이것은 관련이 없을 수도 있지만 동일한 과정(내가 만든 클라이언트 서버 사용)을 따르고 있으며 다음을 수행하여 문제를 해결했습니다.
- 모든 것이 /etc/sssd/sssd.conf의 authconfig-tui에 설정한 것과 일치하는지 확인합니다.
- /etc/sssd/sssd.conf에 대한 권한을 0600으로 설정(그 직후에 작동함) - 사용자 R/W만 부여한다는 점을 고려하면 이것이 왜 차이가 나는지 잘 모르겠지만 Oracle 가이드에서 찾았습니다. RHEL7 SSSD 클라이언트 구성의 경우:https://docs.oracle.com/cd/E52668_01/E54669/html/ol7-sssd-ldap.html
편집: 가능한 설명:https://pagure.io/SSSD/sssd/issue/1413