Configuramos um servidor OpenLDAP que está funcionando bem. FreeBSD, Debian e um plugin WordPress autenticam sem problemas. Estamos configurando o Fedora 21 com pam_sss, mas recebemos o seguinte erro em /var/log/secure:
Mar 1 00:15:00 www sshd[1176]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=199.100.16.39 user={REDACTED}
Mar 1 00:15:00 www sshd[1176]: pam_sss(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=199.100.16.39 user={REDACTED}
Mar 1 00:15:00 www sshd[1176]: pam_sss(sshd:auth): received for user {REDACTED}: 6 (Permission denied)
getent passwd {REDACTED}retorna
{REDACTED}:*:1000:500:{REDACTED (full user name)}:/home/users/{REDACTED}:
O comando que executei para configurar o cliente é
authconfig --enableldap --enableldapauth --ldapserver='ldap://{REDACTED (IP)}:389/' --ldapbasedn='dc={REDACTED},dc={REDACTED},dc=com' --enablemkhomedir --enableshadow --update
Pesquisamos on-line informações sobre esse erro específico (a combinação de falha de autenticação e 6 (Permissão negada)), mas não encontramos nenhum caso em que ele tenha sido resolvido.
Responder1
Encontrei a solução para o problema. Ao executar sssd -i -d 4e tentar fazer login em um console diferente, vi que START TLSfoi aí que o login falhou. Aparentemente, o Red Hat e o Fedora usam TLS por padrão. O servidor não possui TLS (não temos tempo suficiente no momento). Para desabilitar a edição de TLS /etc/sysconfig/authconfigna máquina cliente e atualizar FORCELEGACY=nopara FORCELEGACY=yes.
Crédito parahttp://www.linuxquestions.org/questions/linux-enterprise-47/rhel-6-ldap-now-requires-tls-843917/
(Obrigado Andy por tentar ajudar!)