пользователь не связан с членством в группе ldap по идентификатору
У меня есть существующий набор серверов Centos 5.4, которые ограничивают вход в систему, основываясь на том, что я являюсь уникальным членом группы vizusers ldap. Пользователи могут быть непосредственным уникальным членом группы или быть членом группы, которая является уникальным членом vizusers .
Я пытаюсь реализовать этот же метод в Centos 6.4. Сервер ldap находится в закрытой сети и не поддерживает SSL или TLS, поэтому использование sssd невозможно. Требуется использование pam_ldap и nslcd .
Пользователи, которые являются прямыми уникальными членами, разрешаются правильно, о чем свидетельствует "групповое имя пользователя", возвращающее пользователей в качестве вторичной группы. Пользователи, которые должны унаследовать эту группу, возвращают только свою основную группу.
pam_ldap.conf , ldap.conf и nslcd.conf не отличаются от рабочей конфигурации на Хосты Centos 5.4.
ldapsearch of vizusers возвращает всех пользователей и группы, которые являются уникальными членами. Последующий поиск по подгруппам правильно возвращает ожидаемых пользователей.
Что мне не хватает?
Согласно ответу stackexchange не существует такой вещи, как «вложенные группы linux».
Таким образом, поведение Centos 6.4 такое, как ожидалось.
Как это работало на Centos 5.4 - это загадка.
Примечание: на мой взгляд sssd может нормально работать с привязкой открытого текста LDAP.