Instalei o CentOS 7 em um servidor totalmente novo. Todos os meus servidores obtêm autenticação de usuário final através de LDAPS em vários sistemas como RHEL5, Debian e Solaris. Percebi que há uma nova camada no CentOS 7 que é SSS acima de NSS e PAM. De qualquer forma, tento replicar o mesmo tipo de conexão do outro servidor.
O comando ldapsearch -xé obrigatório no LDAP, mas não no LDAPS.
Enquanto cavava o problema, tentei fazer uma conexão no LDAP apertando a camada SSS colocando essas linhas no meu/etc/nsswitch.conf
passwd: files ldap #sss
shadow: files ldap #sss
group: files ldap #sss
E eu adicionei esta linha no/etc/sssd/sssd.conf
cache_credentials = False
E eu reiniciei o SSD.
systemctl restart sssd
Eu verifico com o comando authconfig --teste tudo parece ok :(http://www.heypasteit.com/clip/1LZ2)
Responder1
Não tenho certeza se esta é a solução adequada, mas notei noPerguntas frequentes sobre SSSDeste ponto:
Quando devo habilitar a enumeração no SSSD? ou Por que a enumeração está desabilitada por padrão?
"Enumeração" é o termo do SSSD para "ler e exibir todos os valores de um mapa específico (usuários, grupos, etc.)". Desativamos isso por padrão no SSSD para minimizar a carga nos servidores com os quais o SSSD deve se comunicar. Na maioria das operações, nunca será necessário listar o conjunto completo de usuários ou grupos. Os aplicativos geralmente solicitarão informações sobre usuários ou grupos específicos.
Enumerar todas as entradas tem um impacto negativo na carga do servidor e no desempenho do cliente (pois temos que salvar todos os relacionamentos complexos entre os usuários e os grupos aos quais eles pertencem no cache local). Por causa disso, enviamos com enumerações desativadas (o mesmo comportamento do winbind do projeto Samba).
Você só deverá ativar enumerações (e os problemas de desempenho resultantes) se tiver aplicativos ou scripts em seu ambiente que devam ser absolutamente capazes de recuperar as listas completas. Nestes casos, a enumeração pode ser habilitada definindo
[domain/<domainname>] enumerate = true ...em seu arquivo sssd.conf.
Isso permitiu getent passwdexibir todas as contas disponíveis via SSSD. Esteja avisado que isso pode prejudicar o desempenho.