使用 sssd 我有一个 RHEL6 客户端配置为使用 ldaps 登录。登录有效,但如果登录的用户在 ldap 级别被分配到超过 1 个组,组只返回 1 个组?我会在某处遗漏配置吗?
显示的组是分配给用户的默认组。在 RHEL5 客户端中,group 命令显示分配给用户的所有组。
问问题
3377 次
2 回答
1
我今天能够花一些时间并能够解决这个问题。RHEL 6 使用sssd。必须将配置文件/etc/sssd/sssd.conf
更改为在 domain/default 部分中具有以下内容
ldap_search_base = dc=domain,dc=something,dc=com
ldap_group_member = uniquemember
是默认配置中缺少的更改。
[domain/default]
ldap_tls_reqcert = never
auth_provider = ldap
ldap_schema = rfc2307bis
krb5_realm = EXAMPLE.COM
ldap_search_base = dc=domain,dc=something,dc=com
ldap_group_member = uniquemember
id_provider = ldap
ldap_id_use_start_tls = False
chpass_provider = ldap
ldap_uri = ldaps://yourldap.server.com/
ldap_chpass_uri = ldaps://yourldap.server.com/
krb5_kdcip = kerberos.example.com
cache_credentials = True
ldap_tls_cacertdir = /etc/openldap/cacerts
entry_cache_timeout = 600
ldap_network_timeout = 3
ldap_access_filter = (&(objectclass=shadowaccount)(objectclass=posixaccount))
于 2013-08-05T18:38:33.287 回答
1
一般来说,要检查的事情是:
1) LDAP 模式是您要使用的模式吗?(RFC2307 与 RFC2307bis)。前者将普通用户名存储在“memberuid”属性中,后者(例如由 AD 使用)将完整 DN 存储在“member”属性中。
2) 搜索基础是否设置正确?
如果您可以粘贴 RHEL6 和 RHEL5 配置文件进行比较,那就太好了。随意清理/删除绑定 DN、密码或 URI 等信息。
于 2013-07-31T08:13:54.140 回答