У меня проблема с аутентификацией через LDAP с компьютера CentOS 7 на Windows Server 2012 R2 DC через SSSD.
Linux WS100 3.10.0-957.10.1.el7.x86_64 #1 SMP Mon Mar 18 15:06:45 UTC 2019 x86_64 x86_64 x86_64 GNU/Linux
ldapsearch может без проблем успешно запрашивать каталог через простой LDAP
ldapsearch -x -h dc.company.local -D "cn=some user,cn=users,dc=company,dc=local" -w thePassword -b "cn=users,dc=company,dc=local" -s sub "(cn=*)" cn mail sn
И вот шаги, которые выполняются для настройки SSSD для этой цели
yum install sssd sssd-client
authconfig --enablesssd --enablesssdauth --ldapserver=dc.company.local --ldapbasedn="cn=users,dc=company,dc=local" --update
/ etc / nsswitch.conf
содержит записи для sss
passwd: files sss
shadow: files sss
group: files sss
и /etc/sssd/sssd.conf
настроен следующим образом:
[sssd]
domains = company.local
config_file_version = 2
services = nss, pam
[domain/company.local]
id_provider = ldap
auth_provider = ldap
ldap_schema = ad
ldap_uri = ldap://dc.company.local
ldap_search_base = cn=users,dc=company,dc=local
ldap_default_bind_dn = cn=some user,cn=users,dc=company,dc=local
ldap_default_authtok_type = password
ldap_default_authtok = thePassword
override_homedir = /home/%u
Но su - имя пользователя
или su - (скрыто ) не работает. Есть сетевые транзакции для контроллера домена, проверенные tcpdump, но я полагаю, что учетные данные неправильно отформатированы для схемы, которую я использую (ad).
Я попытался очистить кеш SSSD и перезапустить демон, без разницы. Я не нахожу связанных сообщений в журналах / var / log / secure
и / var / log / sssd /
, которые не указывают на неправильную конфигурацию.
Кто-нибудь может мне помочь ? Сталкивались ли вы с подобной проблемой или можете предложить другое решение, выполнимое в аналогичной настройке?
Спасибо!
Вероятно, вам следует использовать id_provider = ad
, а не ldap
, который я использую в своей конфигурации SSSD для AD. auth_provider
по умолчанию имеет то же значение, что и id_provider
, поэтому вы можете его опустить, а использование бэкэнд ad
подразумевает также ldap_schema = ad
.