Estou tentando usar o chef para adicionar/modificar algumas contas de usuários locais. Por alguma razão, existem contas duplicadas no LDAP. Como o sistema usa sssd/pam/ldap, ele vê o usuário como existente, mas não consegue modificá-lo porque não está em /etc/passwd.
Existe uma maneira de ignorar completamente as contas ldap para que elas não sejam identificadas? Então o Chef irá criá-los corretamente.
Responder1
Existe uma opção na configuração do ldap para ignorar pesquisas de ldap para determinados IDs de usuário. Em
/etc/ldap.conf
nss_initgroups_ignoreusers root,ldap,named,avahi,haldaemon,dbus,radvd,tomcat,radiusd,news,mailman
Também existe este valor de configuração no arquivo de configuração sssd
filter_users, filter_groups (string) Excluir determinados usuários de serem buscados no banco de dados sss NSS. Isto é particularmente útil para contas do sistema. Esta opção também pode ser definida por domínio ou incluir nomes totalmente qualificados para filtrar apenas usuários de um domínio específico. Padrão: raiz