중첩된 posixgroup이 있는 pam_access nisnetgroup

중첩된 posixgroup이 있는 pam_access nisnetgroup

pam_access를 활성화하고 규칙에 따라 사용자를 올바르게 허용/거부했습니다. 이러한 규칙 중 하나는 LDAP 지원 NIS 그룹을 조회합니다.

+ : @hostname-granted : ALL

사용자 이름에 대한 LDAP 작업에 튜플 넣기

(,test_user,)

이는 'test_user'에게 호스트에 대한 액세스 권한이 부여된다는 의미입니다.

nisNetgroups는 중첩된 넷그룹에 대한 memberNisNetgroup도 지원합니다. 이 방법도 작동하며 하위 그룹에서 사용자를 찾습니다.

문제는 다른 LDAP 지원 posixGroup을 지정하는 경우 사용자가 넷그룹을 찾고 있고 그룹을 찾지 못하기 때문에 조회에서 사용자를 찾지 못한다는 것입니다.

우리는 sssd를 사용하고 있습니다. 이것은 그것으로부터의 조회에 대한 디버그 로그입니다.

(Fri Oct  2 11:42:08 2015) [sssd[be[LDAP]]] [sdap_attrs_add_ldap_attr] (0x2000): Adding original DN [cn=hostname-denied,ou=host access policy,ou=Groups,dc=demonware,dc=net] to attributes of [hostname-denied]
.
(Fri Oct  2 11:42:08 2015) [sssd[be[LDAP]]] [sdap_attrs_add_ldap_attr] (0x2000): Adding netgroup triple [(,test_user,)] to attributes of [hostname-denied].
(Fri Oct  2 11:42:08 2015) [sssd[be[LDAP]]] [sdap_attrs_add_ldap_attr] (0x2000): Adding original members [test_group] to attributes of [hostname-denied].
(Fri Oct  2 11:42:08 2015) [sssd[be[LDAP]]] [sdap_attrs_add_ldap_attr] (0x2000): Adding members [test_group] to attributes of [hostname-denied].
(Fri Oct  2 11:42:08 2015) [sssd[be[LDAP]]] [sdap_save_netgroup] (0x0400): Storing info for netgroup hostname-denied


(Fri Oct  2 11:42:08 2015) [sssd[be[LDAP]]] [sdap_get_netgroups_next_base] (0x0400): Searching for netgroups with base [dc=example,dc=com]
(Fri Oct  2 11:42:08 2015) [sssd[be[LDAP]]] [sdap_print_server] (0x2000): Searching 192.168.1.2
(Fri Oct  2 11:42:08 2015) [sssd[be[LDAP]]] [sdap_get_generic_ext_step] (0x0400): calling ldap_search_ext with [(&(cn=test_group)(objectclass=nisNetgroup))][dc=example,dc=com].
(Fri Oct  2 11:42:08 2015) [sssd[be[LDAP]]] [sdap_get_generic_ext_step] (0x1000): Requesting attrs: [objectClass]
(Fri Oct  2 11:42:08 2015) [sssd[be[LDAP]]] [sdap_get_generic_ext_step] (0x1000): Requesting attrs: [cn]
(Fri Oct  2 11:42:08 2015) [sssd[be[LDAP]]] [sdap_get_generic_ext_step] (0x1000): Requesting attrs: [memberNisNetgroup]
(Fri Oct  2 11:42:08 2015) [sssd[be[LDAP]]] [sdap_get_generic_ext_step] (0x1000): Requesting attrs: [nisNetgroupTriple]
(Fri Oct  2 11:42:08 2015) [sssd[be[LDAP]]] [sdap_get_generic_ext_step] (0x1000): Requesting attrs: [modifyTimestamp]
(Fri Oct  2 11:42:08 2015) [sssd[be[LDAP]]] [sdap_get_generic_ext_step] (0x2000): ldap_search_ext called, msgid = 3
(Fri Oct  2 11:42:08 2015) [sssd[be[LDAP]]] [sdap_process_result] (0x2000): Trace: sh[0x2245480], connected[1], ops[0x2251ca0], ldap[0x22683f0]
(Fri Oct  2 11:42:08 2015) [sssd[be[LDAP]]] [sdap_process_message] (0x4000): Message type: [LDAP_RES_SEARCH_RESULT]
(Fri Oct  2 11:42:08 2015) [sssd[be[LDAP]]] [sdap_get_generic_op_finished] (0x0400): Search result: Success(0), no errmsg set
(Fri Oct  2 11:42:08 2015) [sssd[be[LDAP]]] [sdap_get_netgroups_process] (0x0400): Search for netgroups, returned 0 results.

nisNetGroup에 그룹이 설정된 경우 pam_access를 사용하여 posix 그룹의 사용자를 조회할 수 있는 방법이 있습니까? pam_access 참조 파일에 posix 그룹을 직접 추가할 수 있다는 것을 알고 있지만 이는 실행 가능한 옵션이 아닙니다.

관련 정보