После включения и настройки SSSD для использования службы Google Secure LDAP при запросе через группу getent
во всех группах G-Suite отображаются все G -Suite users as members:
$ getent group admin
admin:*:202851646:muru,user1,user2,....
$ getent group jira-users
admin:*:202851646:user5,user3,....
Все пользователи присутствуют, но в другом порядке.
В частности, журналы Google LDAP показывают, что SSSD использует следующий запрос (сайт отредактирован):
(&(memberOf:1.2.840.113556.1.4.1941:=cn=all,ou=Groups,dc=<site>,dc=com)(objectClass=posixAccount))
И действительно, если я использую тот же запрос с ldapsearch
, все учетные записи возвращаются в результате.
Как я могу это исправить?
Похоже, это связано с этими строками в конфигурации G-Suite, рекомендованной для sssd :
ldap_groups_use_matching_rule_in_chain = true
ldap_initgroups_use_matching_rule_in_chain = true
Удалите их, и группы начнут правильно отображать участников (ну, в основном, группы с псевдо-сущностью «Все» в качестве члена показывают только явно перечисленные члены).
В частности, это связано с ldap_groups_use_matching_rule_in_chain
. Из man sssd-ldap
:
ldap_groups_use_matching_rule_in_chain
Этот параметр указывает SSSD использовать преимущества активного Особенность каталога, которая может ускорить операции поиска в группах при развертывании со сложными или глубоко вложенными группами. В большинстве случаев случаях лучше оставить эту опцию отключенной. Это вообще только обеспечивает повышение производительности для очень сложных вложений.
Если этот параметр включен, SSSD будет использовать его, если обнаружит, что сервер поддерживает его при первоначальном подключении. Так что "правда" здесь по сути означает «автоматическое обнаружение».
Примечание. В настоящее время известно, что эта функция работает только с Active Directory 2008 R1 и новее. См. Документацию MSDN (TM) 2 для получения дополнительной информации. подробности.
По умолчанию: False
И проверка документов MSDN:
- 1.2.840.113556.1.4.1941 LDAP_MATCHING_RULE_IN_CHAIN Это правило ограничено фильтрами, которые применяются к DN. Это специальный «расширенный» оператор сопоставления, который просматривает цепочку предков в объектах вплоть до корня, пока не найдет совпадение.
И 1.2.840.113556.1.4.1941
- используемое правило в запросах от sssd.
Я недостаточно хорошо разбираюсь в LDAP-запросах, чтобы судить, какой из запросов SSSD или сервиса Google LDAP неисправен. Не совсем понятно, как я должен сообщать о таких технических недостатках в справочном центре, поэтому я не сообщил об этом в Google.