Impedir que o sssd use o ldap para autenticar ou identificar usuários específicos para o chef

Impedir que o sssd use o ldap para autenticar ou identificar usuários específicos para o chef

Estou tentando usar o chef para adicionar/modificar algumas contas de usuários locais. Por alguma razão, existem contas duplicadas no LDAP. Como o sistema usa sssd/pam/ldap, ele vê o usuário como existente, mas não consegue modificá-lo porque não está em /etc/passwd.

Existe uma maneira de ignorar completamente as contas ldap para que elas não sejam identificadas? Então o Chef irá criá-los corretamente.

Responder1

Existe uma opção na configuração do ldap para ignorar pesquisas de ldap para determinados IDs de usuário. Em

/etc/ldap.conf

nss_initgroups_ignoreusers root,ldap,named,avahi,haldaemon,dbus,radvd,tomcat,radiusd,news,mailman

Também existe este valor de configuração no arquivo de configuração sssd

filter_users, filter_groups (string) Excluir determinados usuários de serem buscados no banco de dados sss NSS. Isto é particularmente útil para contas do sistema. Esta opção também pode ser definida por domínio ou incluir nomes totalmente qualificados para filtrar apenas usuários de um domínio específico. Padrão: raiz

informação relacionada