Я переезжаю изlibpam-ldapкlibpam-ldapdУ меня возникли некоторые проблемы со сбором вторичных групп из LDAP.
Наlibpam-ldap, у меня в файле было следующее /etc/ldap.conf:
nss_schema rfc2307bis nss_base_passwd ou=Люди,ou=CITIUS,dc=inv,dc=usc,dc=es nss_base_shadow ou=Люди,ou=CITIUS,dc=inv,dc=usc,dc=es nss_base_group ou=Группы,ou=CITIUS,dc=inv,dc=usc,dc=es nss_map_attribute уникальный член
Сопоставление существует, поскольку я использую groupOfNamesвместо groupOfUniqueNamesкласса LDAP для групп, поэтому атрибут, именующий членов, назван memberвместо uniqueMember.
Теперь я хочу сделать то же самое, используяlibpam-ldapdно я не могу заставить его работать. Вот соответствующая часть моего /etc/nslcd.conf:
базовый пароль ou=People,ou=CITIUS,dc=inv,dc=usc,dc=es базовая тень ou=People,ou=CITIUS,dc=inv,dc=usc,dc=es базовая группа ou=Groups,ou=CITIUS,dc=inv,dc=usc,dc=es карта группа уникальный член
А это отладочный вывод nslcd, когда пользователь аутентифицирован:
nslcd: [8b4567] ОТЛАДКА: соединение с pid=12090 uid=0 gid=0
nslcd: [8b4567] ОТЛАДКА: nslcd_passwd_byuid(4004)
nslcd: [8b4567] ОТЛАДКА: myldap_search(base="ou=People,ou=CITIUS,dc=inv,dc=usc,dc=es", filter="(&(objectClass=posixAccount)(uidNumber=4004))")
nslcd: [8b4567] ОТЛАДКА: ldap_initialize(ldap://172.16.54.31/)
nslcd: [8b4567] ОТЛАДКА: ldap_set_rebind_proc()
nslcd: [8b4567] ОТЛАДКА: ldap_set_option(LDAP_OPT_PROTOCOL_VERSION,3)
nslcd: [8b4567] ОТЛАДКА: ldap_set_option(LDAP_OPT_DEREF,0)
nslcd: [8b4567] ОТЛАДКА: ldap_set_option(LDAP_OPT_TIMELIMIT,10)
nslcd: [8b4567] ОТЛАДКА: ldap_set_option(LDAP_OPT_TIMEOUT,10)
nslcd: [8b4567] ОТЛАДКА: ldap_set_option(LDAP_OPT_NETWORK_TIMEOUT,10)
nslcd: [8b4567] ОТЛАДКА: ldap_set_option(LDAP_OPT_REFERRALS,LDAP_OPT_ON)
nslcd: [8b4567] ОТЛАДКА: ldap_set_option(LDAP_OPT_RESTART,LDAP_OPT_ON)
nslcd: [8b4567] ОТЛАДКА: ldap_simple_bind_s("uid=ubuntu,ou=Applications,ou=CITIUS,dc=inv,dc=usc,dc=es","*****") (uri="ldap://172.16.54.31/")
nslcd: [8b4567] подключен к серверу LDAP ldap://172.16.54.31/
nslcd: [8b4567] ОТЛАДКА: ldap_result(): конец результатов
nslcd: [7b23c6] ОТЛАДКА: соединение с pid=15906 uid=0 gid=2000
nslcd: [7b23c6] ОТЛАДКА: nslcd_pam_authc("jorge.suarez","","su","***")
nslcd: [7b23c6] ОТЛАДКА: myldap_search(base="ou=People,ou=CITIUS,dc=inv,dc=usc,dc=es", filter="(&(objectClass=posixAccount)(uid=jorge.suarez))")
nslcd: [7b23c6] ОТЛАДКА: ldap_initialize(ldap://172.16.54.31/)
nslcd: [7b23c6] ОТЛАДКА: ldap_set_rebind_proc()
nslcd: [7b23c6] ОТЛАДКА: ldap_set_option(LDAP_OPT_PROTOCOL_VERSION,3)
nslcd: [7b23c6] ОТЛАДКА: ldap_set_option(LDAP_OPT_DEREF,0)
nslcd: [7b23c6] ОТЛАДКА: ldap_set_option(LDAP_OPT_TIMELIMIT,10)
nslcd: [7b23c6] ОТЛАДКА: ldap_set_option(LDAP_OPT_TIMEOUT,10)
nslcd: [7b23c6] ОТЛАДКА: ldap_set_option(LDAP_OPT_NETWORK_TIMEOUT,10)
nslcd: [7b23c6] ОТЛАДКА: ldap_set_option(LDAP_OPT_REFERRALS,LDAP_OPT_ON)
nslcd: [7b23c6] ОТЛАДКА: ldap_set_option(LDAP_OPT_RESTART,LDAP_OPT_ON)
nslcd: [7b23c6] ОТЛАДКА: ldap_simple_bind_s("uid=ubuntu,ou=Applications,ou=CITIUS,dc=inv,dc=usc,dc=es","*****") (uri="ldap://172.16.54.31/")
nslcd: [7b23c6] подключен к серверу LDAP ldap://172.16.54.31/
nslcd: [7b23c6] ОТЛАДКА: ldap_initialize(ldap://172.16.54.31/)
nslcd: [7b23c6] ОТЛАДКА: ldap_set_rebind_proc()
nslcd: [7b23c6] ОТЛАДКА: ldap_set_option(LDAP_OPT_PROTOCOL_VERSION,3)
nslcd: [7b23c6] ОТЛАДКА: ldap_set_option(LDAP_OPT_DEREF,0)
nslcd: [7b23c6] ОТЛАДКА: ldap_set_option(LDAP_OPT_TIMELIMIT,10)
nslcd: [7b23c6] ОТЛАДКА: ldap_set_option(LDAP_OPT_TIMEOUT,10)
nslcd: [7b23c6] ОТЛАДКА: ldap_set_option(LDAP_OPT_NETWORK_TIMEOUT,10)
nslcd: [7b23c6] ОТЛАДКА: ldap_set_option(LDAP_OPT_REFERRALS,LDAP_OPT_ON)
nslcd: [7b23c6] ОТЛАДКА: ldap_set_option(LDAP_OPT_RESTART,LDAP_OPT_ON)
nslcd: [7b23c6] ОТЛАДКА: ldap_simple_bind_s("uid=jorge.suarez,ou=People,ou=CITIUS,dc=inv,dc=usc,dc=es","*****") (uri="ldap://172.16.54.31/")
nslcd: [7b23c6] подключен к серверу LDAP ldap://172.16.54.31/
nslcd: [7b23c6] ОТЛАДКА: myldap_search(base="uid=jorge.suarez,ou=People,ou=CITIUS,dc=inv,dc=usc,dc=es", filter="(objectClass=posixAccount)")
nslcd: [7b23c6] ОТЛАДКА: ldap_unbind()
nslcd: [3c9869] ОТЛАДКА: соединение с pid=15906 uid=0 gid=2000
nslcd: [3c9869] ОТЛАДКА: nslcd_pam_sess_o("jorge.suarez","uid=jorge.suarez,ou=People,ou=CITIUS,dc=inv,dc=usc,dc=es","su","/dev/pts/7","","jorge.suarez")
Мне кажется, что он даже не будет пытаться искать группы. Что я делаю не так? Я не вижу ничего, что имеет отношение к моей проблеме информации надокументы. Я, наверное, не понимаю, как mapработает эта опция.
решение1
Я считаю, что map groupпараметр должен быть связан с соответствующим filter groupпараметром. Вот как я использую его при подключении к Active Directory:
filter passwd (&(objectClass=user)(memberOf:1.2.840.113556.1.4.1941:=CN=Linux-SA,OU=Groups,DC=global,DC=example,DC=com)(!(objectClass=computer))(uidNumber=*)(unixHomeDirectory=*)(!(userAccountControl:1.2.840.113556.1.4.803:=2)))
map passwd uid sAMAccountName
map passwd homeDirectory unixHomeDirectory
map passwd gecos displayName
map passwd loginShell "/bin/bash"
filter shadow (&(objectClass=user)(!(objectClass=computer))(uidNumber=*)(unixHomeDirectory=*))
map shadow uid sAMAccountName
map shadow shadowLastChange pwdLastSet
filter group (&(objectClass=group)(gidNumber=*))
map group uniqueMember member