Estou tentando configurar a autenticação LDAP de acordo com as instruções do livro RHCSA/RHCE de Sander Van Vugt para RHEL7. No capítulo 6 ele explica que ao usar authconfig-tuia FORCELEGACYopção está definida como yesin /etc/sysconfig/authconfig. Isso deveria ser configurado nslcdem vez de sssd.
Eu não vejo isso acontecendo. Talvez tenha sido assim no 7.0 ou mesmo no 7.1, mas no 7.3 a opção é definida noapós o uso de authconfig-tui.
Se eu deixar de lado a confusão nslcdvs sssde tentar concluir o exercício que leva à execução su - larada autenticação via LDAP para o referido usuário, simplesmente obtenho:
su: user lara does not exist
Verifiquei que o servidor FreeIPA está respondendo às consultas usando ldapsearche, ao fazê-lo, confirmei que o usuário está no LDAP. Parece-me, porém, que isso sunão é autenticação no LDAP, mas sim /etc/passwd.
Minha PAM system-authconfiguração inclui as sssdentradas que parecem necessárias:
auth sufficient pam_sss.so forward_pass
account [default=bad success=ok user_unknown=ignore] pam.sss.so
password sufficient pam_sss.so use_authtok
session optional pam_sss.so
Meu /etc/nsswitch.confarquivo contém:
passwd: files sss
shadow: files sss
group: files sss
O sssdserviço está ativo.
Não há entradas de log em /var/log/*ou /var/log/sssd/*. Na verdade, nenhum dos sssdlogs contém nada.
EDITAR
Depois de algumas leituras, ainda não estou mais perto de uma solução para isso, porém, tenho mais informações.
Consigo me autenticar como usuário lara se sshentrar no servidor LDAP. Então eu sei que o LDAP está realmente funcionando.
Eu também olhei a PAMconfiguração do su. Isso está puxando o system-autharquivo:
auth substack system-auth
account include system-auth
password include system-auth
session include system-auth
então deveria estar fazendo uso do pam_sss.somódulo implicitamente.
Ainda não consigo resolver isso.
EDITAR 2
Conseguindo fazer login no servidor IPA localmente ou via SSH com o usuário lara, decidi comparar os arquivos pam nele com os do cliente. A única diferença que consegui determinar é que o cliente continha broken_shadowa pam_unix.soentrada da conta. Eu removi e até reiniciei, mas não resolveu nada.
Como faço para desabilitar broken_shadow? Não consigo encontrar nada sobre isso.
Responder1
Isso pode não ter relação, mas estou seguindo o mesmo caminho (com um servidor cliente de minha criação) e consegui consertar fazendo o seguinte:
- Verificar se tudo corresponde ao que eu configurei em authconfig-tui em /etc/sssd/sssd.conf
- Definir as permissões em /etc/sssd/sssd.conf para 0600 (funcionou imediatamente depois disso) - não tenho certeza por que isso fez diferença, já que concede apenas R/W ao usuário, mas encontrei em um guia Oracle para configuração do cliente RHEL7 SSSD:https://docs.oracle.com/cd/E52668_01/E54669/html/ol7-sssd-ldap.html
EDITAR: Possível explicação:https://pagure.io/SSSD/sssd/issue/1413