Файл Linux ACL и вторичные группы
Некоторые дистрибутивы Linux (я смотрю на свою установку RHEL, прежде всего), устанавливает sendmail для слушания только на localhost. Таким образом, если бы я делал свое сканирование портов от другого компьютера, то оно возвратилось бы, как закрыто.
Кроме того, некоторый ISPs (я смотрю на своего Cox здесь), заблокирует входящие 25. Таким образом, если я сканировал от веб-сканера как Щиты GRC, он возвратится, как будто я установил его для ОТБРАСЫВАНИЯ вместо, принимают. Они делают это как способ сражаться со спамом в целом Интернете. Ваш ISP мог бы иметь политику передать закрытое сообщение порта обратно вместо того, чтобы позволить Вам ответить на это.
Как вы говорите, эта проблема связана с использованием LDAP для получения информации о пользователях. Ваша машина Centos6 сконфигурирована таким образом, что несовместима с сервером LDAP, поэтому, когда он пытается получить список дополнительных групп, к которым принадлежит пользователь, он ничего не находит.
К сожалению, существует несколько стандартов того, как для интерпретации атрибутов LDAP, относящихся к группам POSIX - rfc2307, rfc2307bis, IPA
Centos 6 использует SSSD для управления взаимодействием с удаленными каталогами и базами данных аутентификации. По умолчанию для SSSD используется rfc2307.
Вы, вероятно, обнаружите, что ваш сервер LDAP использует rfc2307bis. У нас есть сервер каталогов Centos 5, по умолчанию он был настроен на rfc2307bis. В качестве дополнительного осложнения наш каталог C5 использовал атрибут uniqueMember вместо или member для членов группы.
Чтобы исправить это, отредактируйте /etc/sssd/sssd.conf и добавьте следующие строки:
ldap_schema = rfc2307bis
ldap_group_member = uniqueMember
Вы также можете обратиться к следующему:
- страницы руководства для sssd.conf и sssd -ldap
- http://www.couyon.net/1/post/2012/04/enables-ldap-usergroup-support-and-authentication-in-centos-6.html
- https: // bugzilla .redhat.com / show_bug.cgi? id = 580402
Пытались ли вы просмотреть числовые идентификаторы обеих групп, к которым принадлежит пользователь, и ACL каталога? Попробуйте getfacl -n test1 и сравните перечисленные группы с выводом id -G andrew . Посмотрите, нет ли там несоответствия, и попробуйте устранить его.