问题标签 [sssd]
For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.
linux - OpenLDAP 身份验证过滤器
我们在 centos 上使用带有 sssd 的 openldap 服务器进行用户身份验证,一切正常。但是,当我们尝试设置访问过滤器以限制特定组(linuxgroup)的用户登录时,因为 openldap 服务器中有很多其他用户。
问题是在openldap中没有memberof属性,有人知道如何使它在openldap中过滤组吗?
linux - 使用 Samba 4 进行 SSSD 身份验证
我最近在 RHEL 6.3 平台上从 samba 3.5 升级到 samba 4。令人欣慰的是,新版本可以替代AD DC,并拥有自己构建的kdc和ldb数据库。现在我的意图是通过 ldap 连接使 linux 机器对 samba4 进行身份验证,因为 samba 4 的工作方式类似于 kerberized ldap 服务器。我能够使用管理员 dn 使用 Apache 目录工作室连接到 ldap 数据库。但是,我无法在 RHEL 6 客户端机器上正确配置 sssd 以通过 ldap 对 samba 服务器进行身份验证。这是我的 sssd 配置文件-
我可以在客户端上成功地为管理员运行 kinit,并且我可以在以管理员身份绑定时运行 ldapsearch,但任何用户的 id 或 getent passwd 都不起作用。请问有什么想法吗??
linux - SSSD 和 sudo:sudoHost 和服务器主机名不匹配
我在 CentOS6 上运行 SSSD/LDAP 来验证用户身份,我还对其进行了配置以从 LDAP 服务器获取 SUDO 信息。
如果我在我的服务器上运行主机名,我会得到:
我用搜索库配置了 sssd.conf,例如:
在这台机器上拥有 SUDO 权限的用户有这样的入口:
现在,如您所见,sudoHost 和主机名不匹配。有没有办法匹配 sssd.conf 中的两者而无需更改服务器主机名或 LDAP 中的条目?我想定义所有在“sometext-myserver”上拥有 SUDO 权限的人也对“myserver”拥有 sudo 访问权限。
这是我在当前配置中遇到的错误:
linux - 使用 LDAP 和 sssd 的 Centos 7 ssh 登录失败
我已经设置了一个运行在 Centos 7 上的 LDAP 服务器。 id, getent passwd, on users 可以工作。但是“ssh”失败了。从 /var/log/secure 看来,身份验证成功了,但 pam 不喜欢别的东西。我不确定如何缩小问题所在。
/var/log/安全:
/etc/sssd/sssd.conf:
/etc/pam.d/password-auth-ac:
/etc/pam.d/system-auth-ac:
/etc/nsswitch.conf:
linux - PAM auth 不查看 LDAP 中的影子属性
我有一个 sssd 设置来针对 LDAP 服务器进行身份验证。我想使用影子属性,这样如果它在过去或设置为 0,它就不会让用户进行身份验证。只要密码正确,它就让用户进行身份验证,忽略 shadowExpire 属性。
日志:
/etc/pam.d/system-auth
附加日志
ubuntu - Ubuntu Server 16.04 SSSD 未加载
我正在尝试向 AD 验证我的 Ubuntu 16.04 服务器,但在加载 SSSD 时遇到问题。我的 sssd.conf 文件如下所示:
它归 root:root 所有,文件权限设置为 600。尝试启动 SSSD 时,systemctl 报告以下内容:
我忽略了什么吗?谢谢!!
ldap - 核心操作系统 LDAP 集成
我想将 coreos 与 Open LDAP 集成。我在 coreos 页面中没有看到文档。
如何安装 libnss ldap 包并继续?
有人有说明吗?
ssh - 单点登录部分适用于 Linux+AD
我通过 SSSD 服务为我的 Linux 集群启用了 AD 身份验证。一个副作用是我现在可以为集群执行 SSO,但它适用于某些帐户而不适用于其他帐户。例如,我有两个 Linux 机器,它们都注册到域中。并且两个帐户是域用户,并且都被允许访问 Linux 机器。一个人可以从一个盒子 ssh 到另一个盒子,但另一个帐户不能。默认配置 SSSD 和 SSHD。我不知道我要检查什么?
linux - 在服务器上设置 SSH 身份验证时出现 Kerberos 密钥表文件的原因是什么?
我对 Kerberos 并没有太多经验,但我正在尝试使用 sssd 在我的一台服务器上使用 AD 设置 SSH 身份验证。我已按照此处sssd 文档中的说明进行操作,但我很难理解为什么我需要一个 keytab 文件来设置它?
我最近一直在阅读有关 Kerberos 的一些内容,看来您只需要在服务器需要在没有用户交互的情况下向 AD 进行身份验证时或当您需要实现 SSO 时(当用户请求该服务的票)。
我只是希望我的用户在通过 SSH 登录时输入他们的用户名/密码,并让 sssd 针对 AD 验证该用户并为他们创建 TGT 票证。有趣的是——即使我没有设置 sssd 并且只设置了 kerberos 端,我也可以运行 kinit 并得到一张票!
所以我的问题是:我可以使用 sssd 设置 SSH 身份验证而不在服务器上生成密钥表文件吗?如果不是那么为什么不呢?
linux - 具有长名称和多个空格的 Getent 组 - SSSD
所以我试图返回一个组,但我认为字符串要么太长,要么与 SSSD 不兼容。
所以 backgroup 是我已经为一个用户和一个组测试了这个域,例如
我得到了回报。
当我这样做时,我也会得到我正在寻找的组名
现在我需要用这个组名做一个 getent 组,它看起来像这样:
是的,它只是一个组的名称,是的,它包含所有这些空格。
所以我试过:
我还有其他方法可以做到这一点吗?我错过了什么吗?