새로운 서버에 CentOS 7을 설치했습니다. 내 모든 서버는 RHEL5, Debian 및 Solaris와 같은 다양한 시스템에서 LDAPS를 통해 최종 사용자 인증을 받습니다. NSS 및 PAM 위에 SSS인 CentOS 7에 새로운 레이어가 있다는 것을 알았습니다. 어쨌든 다른 서버와 동일한 유형의 연결을 복제하려고 합니다.
명령은 ldapsearch -xLDAP에 바인딩되지만 LDAPS에는 바인딩되지 않습니다.
문제를 파헤치는 동안, 나는 SSS 레이어를 압착하여 LDAP에서 연결을 시도해 보았습니다./etc/nsswitch.conf
passwd: files ldap #sss
shadow: files ldap #sss
group: files ldap #sss
그리고 저는 이 줄을/etc/sssd/sssd.conf
cache_credentials = False
그리고 SSD를 다시 시작했습니다.
systemctl restart sssd
명령으로 확인했는데 authconfig --test모든 것이 괜찮은 것 같습니다. (http://www.heypasteit.com/clip/1LZ2)
답변1
이것이 적절한 해결책인지는 확실하지 않지만SSSD FAQ이 점:
SSSD에서 열거를 언제 활성화해야 합니까? 또는 기본적으로 열거가 비활성화되는 이유는 무엇입니까?
"열거"는 "특정 맵(사용자, 그룹 등)의 모든 값을 읽고 표시"하는 SSSD 용어입니다. SSSD가 통신해야 하는 서버의 부하를 최소화하기 위해 SSSD에서는 기본적으로 이 기능을 비활성화합니다. 대부분의 작업에서는 전체 사용자 또는 그룹 집합을 나열할 필요가 없습니다. 응용 프로그램은 일반적으로 특정 사용자나 그룹에 대한 정보를 요청합니다.
모든 항목을 열거하면 서버의 로드와 클라이언트의 성능에 부정적인 영향을 미칩니다(사용자와 사용자가 속한 그룹 간의 복잡한 관계를 모두 로컬 캐시에 저장해야 하기 때문). 따라서 이 때문에 우리는 열거형을 비활성화한 상태로 출시합니다(Samba 프로젝트의 winbind와 동일한 동작).
전체 목록을 반드시 검색할 수 있어야 하는 환경에 애플리케이션이나 스크립트가 있는 경우에만 열거(및 그에 따른 성능 문제)를 활성화해야 합니다. 이러한 경우 다음 설정을 통해 열거를 활성화할 수 있습니다.
[domain/<domainname>] enumerate = true ...sssd.conf 파일에 있습니다.
getent passwd이를 통해 SSSD를 통해 사용 가능한 모든 계정을 표시하는 기능이 활성화되었습니다 . 이는 성능 저하가 될 수 있다는 점에 유의하세요.