问题标签 [sssd]

我无法将 sssd（2.0.0，CentOS 8）与仅旧 tls 1.0 的 ldap（MacOS X 10.6 服务器）连接。

工作，所以这应该是可能的：

openssl s_client -connect snow.cologne.intradesys.com:ldaps -tls1

在 /etc/openldap/ldap.conf 我可以选择设置TLS_PROTOCOL_MIN 3.1（= TLS 1.0）

但是看着： man sssd-ldap 我有很多 ldap_tls_... 参数，但不能降级到 TLS 1.0

所以我得到/var/log/sssd/sssd_default.log:

/var/log/sssd/sssd_default.log[sss_ldap_init_sys_connect_done] (0x0020): ldap_install_tls failed: [Connect error] [error:1425F102:SSL routines:ssl_choose_client_version:unsupported protocol]

在我的 ubuntu 工作站中，我使用/etc/samba/smb.confand /etc/sssd/sssd.confwith/etc/krb5.conf来加入公司网络上的活动目录。

但是我还不能说出 samba 和 sssd 之间的区别。有人可以解释这两种服务之间的区别以及它们在哪里重叠吗？

• 即使没有 samba，sssd 也可以工作。是直接读smb.conf吗？
• 他们如何相互依赖？

我已经阅读了文档，但我需要一个更简单的解释。

我们尝试了 sssd 实用程序，它对 Windows AD 进行 LDAP 身份验证，但是我们必须管理单个服务器的用户/组权限，sssd 没有中央管理。

此外，我们正在尝试使用 FREEIPA，但它似乎是另一个目录服务，我们需要创建另一个域，然后在 windows 域和 IPA 域之间建立信任，但是我们不想选择该路由。

有没有办法在不创建 FREEIPA 域的情况下将 FreeIPA 与 Windows AD 集成。

我正在尝试使用 ansible-pull 方法在剧本的运行时间上运行带有额外变量的剧本。

这就是我需要如何使用 vars 运行我的剧本的方式。

bind_password 将具有管理员密码的编码值。我已经尝试在下面写剧本。

我能够调试每个值并正确获取它，但是在解码密码后没有得到确切的值或不确定我是否正确地执行它？

但是虽然我们可以使用命令解码 base64 值：

我怎样才能用 ansible-pull 运行这个剧本。

后来我想将此剧本转换为角色（role1），然后需要按如下方式运行它：

我们如何使用 ansible-pull 运行基于角色的剧本？

sssd 在 Ubuntu 19.10 上无法正常工作。当尝试使用相同配置的 ldap.conf、sssd.conf 和 krb5.conf 的旧 ubuntu 版本 (<19.04) 时，LDAP 身份验证工作正常。

我使用 krb5 作为身份验证提供程序。运行 kinit - ldapsearch 工作正常，所以它必须是 sssd 的问题。sssd 服务处于活动状态且未报告任何错误。

与以前的 Ubuntu 版本相比，在 Ubuntu 19.10 上配置 sssd 是否有任何重大差异？

我正在使用 sssd 测试 openldap 作为 ssh 登录和 sudo 规则的来源。

到目前为止，我可以根据 LDAP 的规则使用 LDAP 进行身份验证（密码和密钥）和 sudo。

但我也希望能够使用网络组来控制用户有权登录的位置。

在 LDAP sudo 规则中对主机使用 ALL 时，用户可以使用 sudo。如果我创建一个将在 sudo 规则中使用的 nisNetgroup，则用户无法使用 sudo。

这是我的 sssd conf 中用于网络组的内容：

我netgroup: sss在 /etc/nsswitch.conf 文件中

我在 LDAP 中的 nisNetgroup：

在 sssd 日志中，我可以看到记录的三重 beign：

但是当我运行 getent 时，我看不到三元组：

并且用户不能sudo。

任何帮助，将不胜感激。谢谢。

最近我们将我们的 Linux 服务器绑定到了一个 AD 域。我们现在可以进行简单的操作，如下：

1. 使用 AD 帐户登录我们的 Linux 服务器（也可以通过 SSH）
2. 使用 id 命令列出并识别我们的 AD 组
3. 创建文件，获得这些文件的所有权和另一个简单的操作
4. 在涉及我们的 AD 用户和组的 Linux 服务器上创建 ACL

但是，似乎我们的用户无法访问其主要组以外的组。

我们尝试过的步骤

假设名为 foo 的 AD 用户是“group_A@domain.dom”、“group_B@domain.dom”AD 组的成员，并且 group_A 被定义为主要组。我们预计用户 foo 将能够访问 group_A 或 group_B 拥有的文件，但我们发现用户 foo 无法访问分配给 group_B 拥有（或具有权限）的文件。

因此，我们的用户是很多广告组的成员，但只有主组是有效的，并且可以让我们的用户访问 Linux 服务器中的文件。这种现象似乎发生在我们所有的环境中

我们可以做些什么来让我们的 AD 用户通过他们所属的所有组获得访问权限，而不仅仅是他们的主要组？

技术信息

我们使用的是 Rhel7 Linux 服务器，我们使用领域工具将它加入到 windows 域中。我们没有给我们的用户一个 POSIX 属性，并且有一个自动 ID 映射

我已经将我们的一个 jumpservers 从 openldap/nscd 迁移到 sssd 客户端。服务器正在运行 Ubuntu 14.04 x64。除了一项非常重要的功能外，一切正常：当用户使用过期密码进行身份验证时，不会弹出密码重置对话框。我们在 ldap 服务器 (OpenLdap 2.4) 上设置了 90 天保留政策。在 /etc/sssd/sssd.conf 上使用不同的标志并没有带来预期的结果这里是 sssd.conf

我会很高兴这里有任何方向

尝试将运行 CentOS 的 Linux 机器连接到 MS Windows Active Directory 域（Server Windows 2003）

版本

客户端 - Linux

uname -r => 4.18.0-147.5.1.el8_1.x86_64 lsb_release -d => CentOS Linux 版本 8.1.1911（核心）

服务器 MS Windows 2003

命令

KRB5_TRACE=/dev/stdout kinit -V

输出

KRB5_TRACE=/dev/stdout kinit -V dadeniji@LAB.org。

尝试周围的工作

指定加密类型

活动目录帐户设置

设置 Active Directory 帐户

1. 为此帐户使用 Kerberos DES 加密类型

更多在这里

https://docs.google.com/document/d/102UCuMB5IkiPb15468EcWN8-h-t6PfRe1rq6Q7x1IOc/edit?usp=sharing

总结 尝试查看是否有明确的解决方法可以将最新版本的 Linux\sssd 挂接到基于 MS Windows 2003 的 Active Directory 中。

我需要在 CentOS 7 上运行的 SQL Server 2019 上启用 Active Directory 身份验证。

服务器 centos-1 alresdy 已经预先配置了 sssd 给我们 AD 认证。但是，我遵循了有关如何在 Linux 上的 SQL Server 上启用 Windows 身份验证的官方 Microsoft 指南：

1. 将 Linux 服务器添加到域中

服务器可以查询域

2. 为用于在 Windows 中运行 MSSQL 的服务帐户创建 SPN

3. 创建 keytab 文件并将其复制到使用 SQL Server 的 centos-1 机器

4. 配置 MSSQL 以使用 keytab

虽然 AD 可以对连接到服务器的用户进行身份验证，但 SQL Server 无法创建 Windows 登录。它说 Windows NT user or group 'SD\db_users' not found. Check the name again.

sssd.log 说

我认为问题在于 mssql-server 正在传递sd\db_users整个帐户名而没有省略域前缀sd。

是否有让 MSSQL 在我的设置中使用 AD 的设置或方法？