SSSD на основе KDC и OpenLDAP?
Я установил экземпляр MIT KDC, поддерживаемый экземпляром OpenLDAP, и все они работают на RHEL 7. Я хочу настроить SSSD для извлечения пользователей и групп из этой комбинации, но я сталкиваюсь с множеством проблем, поскольку большая часть документации предполагает AD.
Проблема, на которой я сейчас застрял, заключается в том, что SSSD, судя по журналам, похоже, нуждается в каком-то числовом идентификаторе для каждого пользователя, который он использует для локального создания UID. Проблема в том, что KDC, похоже, вообще не хранит это в LDAP. Я также замечаю, что KDC сохраняет только полный принципал (скрытый), что означает, что когда я пытаюсь войти в систему с использованием только имени пользователя, у меня нет полей, чтобы указать SSSD для использования.
Есть ли способ заставить KDC хранить больше информации в LDAP, или способ заставить SSSD работать с тем, что у нас есть?
Кроме того, мы будем очень признательны за любую документацию по созданию такого соединения.
Конфигурация SSSD:
[sssd]
services = nss, pam
domains = DOMAIN.COM
debug_level = 10
[nss]
debug_level = 10
[pam]
debug_level = 10
[domain/DOMAIN.COM]
debug_level = 10
id_provider = ldap
auth_provider = krb5
access_provider = ldap
chpass_provider = krb5
dyndns_update = False
realmd_tags = manages-system joined-with-samba
cache_credentials = False
enumerate = False
entry_cache_timeout = 86400
min_id = 1000000
default_shell = /bin/bash
fallback_homedir = /home/%u@%d
use_fully_qualified_names = True
#LDAP Configuration
ldap_uri = ldap://ldapserver:389
ldap_search_base = dc=domain,dc=com
ldap_user_search_base = dc=domain,dc=com
ldap_group_search_base = dc=domain,dc=com
ldap_id_mapping = True
ldap_idmap_range_min = 100000
ldap_idmap_range_max = 2000100000
ldap_idmap_range_size = 2000000000
ldap_idmap_default_domain = <DOMAIN>
ldap_access_filter = &(objectClass=krbPrincipal)
ldap_user_object_class = krbPrincipal
ldap_user_name = krbPrincipalName
ldap_user_principal = krbPrincipalName
ldap_user_fullname = krbPrincipalName
ldap_user_uid_number = krbPrincipalName
ldap_user_objectsid = krbPrincipalName
#KRB5 Configuration
krb5_server = kdc_server
krb5_realm = DOMAIN.COM
Пример записи:
dn: krbPrincipalName=test-user2@DOMAIN.COM,cn=DOMAIN.COM,cn=kerberos,dc=domain,dc=com
ufn: test-user2@DOMAIN.COM, DOMAIN.COM, kerberos, DOMAIN.com
krbLoginFailedCount: 0
krbPrincipalName: test-user2@DOMAIN.COM
krbPrincipalKey:: ...
krbLastPwdChange: 20190524234020Z
krbExtraData:: ...
krbExtraData:: ...
objectClass: krbPrincipal
objectClass: krbPrincipalAux
objectClass: krbTicketPolicyAux
Buna görə heç vaxt yaxşı bir cavab tapa bilmədim, ancaq bunun ətrafında işləyə bildim və bu barədə büdrəyən google istifadəçiləri üçün göndərmək istədim.
Əsasən başa çatdım sadəcə OpenLDAP və KDC-dən tamamilə ayrı olduqları kimi istifadə etmək. Rahatlığım üçün KDC-nin LDAP tərəfindən dəstəklənməsini davam etdirdim, amma bu faktı artıq istifadə etmirəm. Bunun əvəzinə bir istifadəçi əlavə etdikdə onu həm KDC-də, həm də LDAP-da əlavə edirəm. Sonra SSSD-ni istifadəçiləri əl ilə əlavə etdiyim LDAP sahəsinə yönəltdim,lakin hələ də identifikasiya üçün KDC istifadə edir. İndiyə qədər bir neçə problemim olsa da, əsasən yaxşı işləyir.
Kiminsə yuxarıda göstərilənlər üçün həqiqi bir həlli varsa, yenə də eşitmək istərdim!