Я установил CentOS 7 на совершенно новый сервер. Все мои серверы получают аутентификацию конечного пользователя через LDAPS на различных системах, таких как RHEL5, Debian и Solaris. Я заметил, что в CentOS 7 есть новый слой, который является SSS над NSS и PAM. В любом случае, я пытаюсь реплицировать тот же тип соединения, что и на другом сервере.
Команда ldapsearch -xявляется обязательной в LDAP, но не в LDAPS.
Пока я копался в этой проблеме, я попытался создать соединение в LDAP, сжимая слой SSS, помещая эти строки в свой/etc/nsswitch.conf
passwd: files ldap #sss
shadow: files ldap #sss
group: files ldap #sss
И я добавил эту строку в/etc/sssd/sssd.conf
cache_credentials = False
И я перезагрузил ssd.
systemctl restart sssd
Я проверяю с помощью команды authconfig --test, и все вроде в порядке: (http://www.heypasteit.com/clip/1LZ2)
решение1
Я не уверен, что это правильное решение, но заметил вЧасто задаваемые вопросы о SSSDэта точка:
Когда следует включать перечисление в SSSD? или Почему перечисление отключено по умолчанию?
«Перечисление» — это термин SSSD, означающий «считывание и отображение всех значений определенной карты (пользователей, групп и т. д.)». Мы отключаем это по умолчанию в SSSD, чтобы минимизировать нагрузку на серверы, с которыми SSSD должен взаимодействовать. В большинстве операций перечисление полного набора пользователей или групп никогда не понадобится. Приложения обычно запрашивают информацию о конкретных пользователях или группах.
Перечисление всех записей отрицательно влияет на нагрузку на сервер и производительность на клиенте (поскольку нам приходится сохранять все сложные отношения между пользователями и группами, к которым они принадлежат, в локальном кэше). Поэтому мы отправляем с отключенными перечислениями (такое же поведение, как и у winbind проекта Samba).
Вам следует включать перечисления (и возникающие в результате проблемы с производительностью) только в том случае, если в вашей среде есть приложения или скрипты, которые обязательно должны иметь возможность извлекать полные списки. В этих случаях перечисление можно включить, установив
[domain/<domainname>] enumerate = true ...в вашем файле sssd.conf.
Это позволило отображать getent passwdвсе учетные записи, доступные через SSSD. Имейте в виду, что это может тормозить производительность.