Без id_provider
sssd
не может выполнить ни один из nsswitch
ролей. Все разрешения пользователей и групп sss
завершатся ошибкой. Вы можете увидеть это с помощью getent passwd bobdog
.
Я заметил, что у вас есть два разных ldap_access_filter
. Хотя первое кажется плохим, но последнее значение побеждает, так что это скорее проблема опрятности.
ldap_access_filter = (&(object)(object))
ldap_access_filter = (|(memberOf=cn=datateam,ou=group,dc=edurp,dc=com)(memberOf=cn=ctmtest,ou=group,dc=edurp,dc=com)(memberOf=cn=syseng,ou=group,dc=edurp,dc=com))
Кроме того, я не Не знаю, поддерживает ли dsee7
memberof
, хотя я подозреваю, что это так. Стоит дважды проверить. memberof
обычно является операционным атрибутом, поэтому вы должны запрашивать его явно. ldapsearch -H ldaps: //ldap0.la01.edurp.com/ -b dc = edurp, dc = com uid = bobdog memberof
.
Обычно лучше использовать SRV RR
], чем явные хосты. Вы уже полагаетесь на DNS
для разрешения имен.
Если у вас есть Kerberos KDC, вы можете использовать krb5
в качестве своего auth_provider
и использовать sshd
AllowGroups
вместо ограничения доступа. GSSAPI
иногда бывает удобен.
AllowGroups
За этим ключевым словом может следовать список шаблонов имен групп, разделенных пробелами. Если указано, вход в систему разрешен только для пользователей, основная группа или список дополнительных групп которых соответствует одному из шаблонов. Действительны только имена групп; числовой идентификатор группы не распознается. По умолчанию вход разрешен для всех групп. Директивы allow / deny обрабатываются в следующем порядке: DenyUsers , AllowUsers , DenyGroups и, наконец, AllowGroups .
См. ШАБЛОНЫ в ssh_config (5) для получения дополнительной информации о шаблонах.