SSD로 구성된 도메인 가입 서버가 있습니다. sssd.conf에서 나는 사용합니다
ad_access_filter = (memberof=CN=CustomGroup,OU=Security Group,DC=company,DC=com)
이는 그룹의 사용자에게는 잘 작동 하지만 구성원인 그룹 CustomGroup의 사용자에게는 작동하지 않습니다.Nested_CustomGroupCustomGroup
내 sssd.conf는 다음과 같습니다.
[sssd]
domains = company.com
config_file_version = 2
services = nss, pam
[domain/company.com]
ad_domain = company.com
krb5_realm = COMPANY.COM
cache_credentials = True
id_provider = ad
krb5_store_password_if_offline = True
default_shell = /bin/bash
ldap_id_mapping = True
ignore_group_members = False
ldap_group_nesting_level = 2
use_fully_qualified_names = False
fallback_homedir = /home/%u
case_sensitive = false
access_provider = ad
auth_provider = ad
enumerate = false
ad_gpo_access_control = disabled
ad_access_filter = (memberof=CN=CustomGroup,OU=Security Group,DC=company,DC=com)
중첩된 그룹 로그인에서 사용자가 로그인하는 동안 sshd 저널 로그:
server sshd[30781]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=x.x.x.x user=someuser
server sshd[30781]: pam_sss(sshd:auth): authentication success; logname= uid=0 euid=0 tty=ssh ruser= rhost=x.x.x.x user=someuser
server sshd[30781]: pam_sss(sshd:account): Access denied for user someuser: 6 (Permission denied)
server sshd[30781]: Failed password for someuser from x.x.x.x port 26241 ssh2
server sshd[30781]: fatal: Access denied for user someuser by PAM account configuration [preauth]
어떤 아이디어가 있나요? 감사합니다,
답변1
LDAP_MATCHING_RULE_IN_CHAINLDAP 구문에서 Active Directory에 대해 계정의 재귀적이거나 중첩된 그룹 멤버십을 쿼리하려면 또는 에 대한 OID인 OID 1.2.840.113556.1.4.1941을 사용해야 합니다.LDAP_MATCHING_RULE_TRANSITIVE_EVAL
귀하의 경우에는 액세스 필터를 다음과 같이 조정해야 합니다.
(memberOf:1.2.840.113556.1.4.1941:=CN=CustomGroup,OU=Security Group,DC=company,DC=com)