libpam-ldapd não procura grupos secundários

tag-icon tag-icon linux ubuntu debian ldap pam
libpam-ldapd não procura grupos secundários

Estou migrando delibpam-ldapparalibpam-ldapd. Estou tendo problemas para reunir os grupos secundários do LDAP.

Sobrelibpam-ldap, eu tinha isso no /etc/ldap.confarquivo:

nss_schema rfc2307bis
nss_base_passwd ou=Pessoas,ou=CITIUS,dc=inv,dc=usc,dc=es
nss_base_shadow ou=Pessoas,ou=CITIUS,dc=inv,dc=usc,dc=es
nss_base_group ou=Grupos,ou=CITIUS,dc=inv,dc=usc,dc=es
nss_map_attribute membro uniqueMember

O mapeamento existe porque estou usando groupOfNamesem vez da groupOfUniqueNamesclasse LDAP para grupos, então o atributo que nomeia os membros é nomeado memberem vez de uniqueMember.

Agora, quero fazer o mesmo usandolibpam-ldapdmas não consigo fazê-lo funcionar. Aqui está a parte relevante do meu /etc/nslcd.conf:

senha base ou=Pessoas,ou=CITIUS,dc=inv,dc=usc,dc=es
sombra base ou=Pessoas,ou=CITIUS,dc=inv,dc=usc,dc=es
grupo base ou=Grupos,ou=CITIUS,dc=inv,dc=usc,dc=es
grupo de mapas membro exclusivoMember

E esta é a saída de depuração do nslcd, quando um usuário é autenticado:

nslcd: [8b4567] DEBUG: conexão de pid=12090 uid=0 gid=0
nslcd: [8b4567] DEBUG: nslcd_passwd_byuid(4004)
nslcd: [8b4567] DEBUG: myldap_search(base="ou=Pessoas,ou=CITIUS,dc=inv,dc=usc,dc=es", filter="(&(objectClass=posixAccount)(uidNumber=4004))" )
nslcd: [8b4567] DEBUG: ldap_initialize(ldap://172.16.54.31/)
nslcd: [8b4567] DEBUG: ldap_set_rebind_proc()
nslcd: [8b4567] DEBUG: ldap_set_option(LDAP_OPT_PROTOCOL_VERSION,3)
nslcd: [8b4567] DEBUG: ldap_set_option(LDAP_OPT_DEREF,0)
nslcd: [8b4567] DEBUG: ldap_set_option(LDAP_OPT_TIMELIMIT,10)
nslcd: [8b4567] DEBUG: ldap_set_option(LDAP_OPT_TIMEOUT,10)
nslcd: [8b4567] DEBUG: ldap_set_option(LDAP_OPT_NETWORK_TIMEOUT,10)
nslcd: [8b4567] DEBUG: ldap_set_option(LDAP_OPT_REFERRALS,LDAP_OPT_ON)
nslcd: [8b4567] DEBUG: ldap_set_option(LDAP_OPT_RESTART,LDAP_OPT_ON)
nslcd: [8b4567] DEBUG: ldap_simple_bind_s("uid=ubuntu,ou=Applications,ou=CITIUS,dc=inv,dc=usc,dc=es","*****") (uri="ldap:/ /172.16.54.31/")
nslcd: [8b4567] conectado ao servidor LDAP ldap://172.16.54.31/
nslcd: [8b4567] DEBUG: ldap_result(): fim dos resultados
nslcd: [7b23c6] DEBUG: conexão de pid=15906 uid=0 gid=2000
nslcd: [7b23c6] DEBUG: nslcd_pam_authc("jorge.suarez","","su","***")
nslcd: [7b23c6] DEBUG: myldap_search(base="ou=Pessoas,ou=CITIUS,dc=inv,dc=usc,dc=es", filter="(&(objectClass=posixAccount)(uid=jorge.suarez) )")
nslcd: [7b23c6] DEBUG: ldap_initialize(ldap://172.16.54.31/)
nslcd: [7b23c6] DEBUG: ldap_set_rebind_proc()
nslcd: [7b23c6] DEBUG: ldap_set_option(LDAP_OPT_PROTOCOL_VERSION,3)
nslcd: [7b23c6] DEBUG: ldap_set_option(LDAP_OPT_DEREF,0)
nslcd: [7b23c6] DEBUG: ldap_set_option(LDAP_OPT_TIMELIMIT,10)
nslcd: [7b23c6] DEBUG: ldap_set_option(LDAP_OPT_TIMEOUT,10)
nslcd: [7b23c6] DEBUG: ldap_set_option(LDAP_OPT_NETWORK_TIMEOUT,10)
nslcd: [7b23c6] DEBUG: ldap_set_option(LDAP_OPT_REFERRALS,LDAP_OPT_ON)
nslcd: [7b23c6] DEBUG: ldap_set_option(LDAP_OPT_RESTART,LDAP_OPT_ON)
nslcd: [7b23c6] DEBUG: ldap_simple_bind_s("uid=ubuntu,ou=Aplicativos,ou=CITIUS,dc=inv,dc=usc,dc=es","*****") (uri="ldap:/ /172.16.54.31/")
nslcd: [7b23c6] conectado ao servidor LDAP ldap://172.16.54.31/
nslcd: [7b23c6] DEBUG: ldap_initialize(ldap://172.16.54.31/)
nslcd: [7b23c6] DEBUG: ldap_set_rebind_proc()
nslcd: [7b23c6] DEBUG: ldap_set_option(LDAP_OPT_PROTOCOL_VERSION,3)
nslcd: [7b23c6] DEBUG: ldap_set_option(LDAP_OPT_DEREF,0)
nslcd: [7b23c6] DEBUG: ldap_set_option(LDAP_OPT_TIMELIMIT,10)
nslcd: [7b23c6] DEBUG: ldap_set_option(LDAP_OPT_TIMEOUT,10)
nslcd: [7b23c6] DEBUG: ldap_set_option(LDAP_OPT_NETWORK_TIMEOUT,10)
nslcd: [7b23c6] DEBUG: ldap_set_option(LDAP_OPT_REFERRALS,LDAP_OPT_ON)
nslcd: [7b23c6] DEBUG: ldap_set_option(LDAP_OPT_RESTART,LDAP_OPT_ON)
nslcd: [7b23c6] DEBUG: ldap_simple_bind_s("uid=jorge.suarez,ou=Pessoas,ou=CITIUS,dc=inv,dc=usc,dc=es","*****") (uri="ldap ://172.16.54.31/")
nslcd: [7b23c6] conectado ao servidor LDAP ldap://172.16.54.31/
nslcd: [7b23c6] DEBUG: myldap_search(base="uid=jorge.suarez,ou=Pessoas,ou=CITIUS,dc=inv,dc=usc,dc=es", filter="(objectClass=posixAccount)")
nslcd: [7b23c6] DEBUG: ldap_unbind()
nslcd: [3c9869] DEBUG: conexão de pid=15906 uid=0 gid=2000
nslcd: [3c9869] DEBUG: nslcd_pam_sess_o("jorge.suarez","uid=jorge.suarez,ou=Pessoas,ou=CITIUS,dc=inv,dc=usc,dc=es","su","/dev /pts/7","","jorge.suarez")

Parece-me que nem tentará procurar grupos. O que estou fazendo errado? Não consigo ver nada relevante para as informações do meu problema emos documentos. Provavelmente não estou entendendo como a mapopção funciona.

Responder1

Acredito que o map groupparâmetro precisa estar associado a um filter groupparâmetro correspondente. Veja como eu o uso para conectar-se ao Active Directory:

filter passwd (&(objectClass=user)(memberOf:1.2.840.113556.1.4.1941:=CN=Linux-SA,OU=Groups,DC=global,DC=example,DC=com)(!(objectClass=computer))(uidNumber=*)(unixHomeDirectory=*)(!(userAccountControl:1.2.840.113556.1.4.803:=2)))
map    passwd uid              sAMAccountName
map    passwd homeDirectory    unixHomeDirectory
map    passwd gecos            displayName
map    passwd loginShell       "/bin/bash"
filter shadow (&(objectClass=user)(!(objectClass=computer))(uidNumber=*)(unixHomeDirectory=*))
map    shadow uid              sAMAccountName
map    shadow shadowLastChange pwdLastSet
filter group  (&(objectClass=group)(gidNumber=*))
map    group  uniqueMember        member

informação relacionada