Я пытаюсь настроить клиент LDAP на машине CentOS 8.2, используя SSSD.
Сервер не использует TLS или SSL.
Я изменил следующие файлы конфигурации:
/etc/sssd/sssd.conf
[sssd]
config_file_version = 2
services = nss, pam
domains = default
reconnection_retries = 3
sbus_timeout = 30
[nss]
filter_groups = root
filter_users = root
reconnection_retries = 3
[pam]
reconnection_retries = 3
offline_credentials_expiration = 60
[domain/default]
ldap_schema = rfc2307
id_provider = ldap
auth_provider = ldap
chpass_provider = ldap
ldap_uri = ldap://[...]
ldap_search_base = dc=[...]
ldap_id_use_start_tls = False
ldap_tls_cacertdir = /etc/openldap/cacerts
cache_credentials = True
ldap_tls_reqcert = never
ldap_search_timeout = 50
ldap_network_timeout = 60
/etc/openldap/ldap.conf
URI ldap://[...]
BASE dc=[...]
TLS_CACERTDIR /etc/openldap/cacerts
Я также выполнил эту команду, чтобы выбрать SSSD:
$ authselect select sssd --force
И перезапустил сервис SSD.
Когда я выполняю id
с пользователем LDAP, он возвращает мне ожидаемую информацию.
Однако при попытке войти в систему с пользователем LDAP на этом компьютере все, что я получаю после ввода пароля, - это следующая ошибка:
Permission denied, please try again.
При просмотре журналов сервера LDAP есть следующие строки:
Nov 27 16:50:23 slapd[22838]: conn=7291 fd=34 ACCEPT from IP=193.51.99.18:40034 (IP=0.0.0.0:389)
Nov 27 16:50:23 slapd[22838]: conn=7291 op=0 SRCH base="" scope=0 deref=0 filter="(objectClass=*)"
Nov 27 16:50:23 slapd[22838]: conn=7291 op=0 SRCH attr=* altServer namingContexts supportedControl supportedExtension supportedFeatures supportedLDAPVersion supportedSASLMechanisms domainControllerFunctionality defaultNamingContext lastUSN highestCommittedUSN
Nov 27 16:50:23 slapd[22838]: conn=7291 op=0 SEARCH RESULT tag=101 err=0 nentries=1 text=
Nov 27 16:50:23 slapd[22838]: get_filter: conn 7291 unknown attribute type=sudoHost (17)
Nov 27 16:50:23 slapd[22838]: get_ssa: conn 7291 unknown attribute type=sudoHost (17)
Nov 27 16:50:23 slapd[22838]: get_ssa: conn 7291 unknown attribute type=sudoHost (17)
Nov 27 16:50:23 slapd[22838]: get_ssa: conn 7291 unknown attribute type=sudoHost (17)
Nov 27 16:50:23 slapd[22838]: get_ssa: conn 7291 unknown attribute type=sudoHost (17)
Nov 27 16:50:23 slapd[22838]: get_ssa: conn 7291 unknown attribute type=sudoHost (17)
Nov 27 16:50:23 slapd[22838]: conn=7291 op=1 SRCH base="dc=[...]" scope=2 deref=0 filter="(&(?objectClass=sudoRole)(|(&(!(?sudoHost=
*))(cn=defaults))(?sudoHost=ALL)(?sudoHost=[...])(?sudoHost=[...])(?sudoHost=10.0.0.254)(?sudoHost=10.0.0.0/24)(?sudoH
ost=10.75.1.18)(?sudoHost=10.75.1.0/25)(?sudoHost=193.51.99.18)(?sudoHost=193.51.99.0/24)(?sudoHost=10.0.1.254)(?sudoHost=10.0.1.0/24)(?sud
oHost=192.168.122.1)(?sudoHost=192.168.122.0/24)(?sudoHost=+*)(|(?sudoHost=*\5C*)(?sudoHost=*?*)(?sudoHost=*\2A*)(?sudoHost=*[*]*))))"
Nov 27 16:50:23 slapd[22838]: conn=7291 op=1 SRCH attr=objectClass objectClass cn sudoCommand sudoHost sudoUser sudoOption sudoRunA
s sudoRunAsUser sudoRunAsGroup sudoNotBefore sudoNotAfter sudoOrder modifyTimestamp
Nov 27 16:50:23 slapd[22838]: conn=7291 op=1 SEARCH RESULT tag=101 err=0 nentries=0 text=
From Насколько я понимаю, сервер не понимает некоторых атрибутов, которые ищет клиент, но я не уверен, и я не нашел никакой информации относительно такого рода ошибок.
Кто-нибудь знает, в чем может быть проблема? Спасибо !
sssd не поддерживает аутентификацию LDAP по незашифрованным соединениям.
Со страницы руководства sssd-ldap(5):
Если вы хотите аутентифицироваться на сервере LDAP, требуется либо TLS/SSL, либо LDAPS. sssd не поддерживает аутентификацию по незашифрованному каналу. Если сервер LDAP используется только как поставщик удостоверений, зашифрованный канал не требуется. Пожалуйста, обратитесь к параметру конфигурации «ldap_access_filter» для получения дополнительной информации об использовании LDAP в качестве поставщика доступа.