LDAP实现

Question

我想使用AWS Simple AD (samba)实现集中式身份验证。客户端机器基于linux (ubuntu和amazon linux)。在我的ldap中，我只在dc=ldap,dc=test,dc=io下创建了一个用户(cn=test)。

我在我的linux机器上使用sssd作为身份验证客户端。下面是我的/etc/sssd/sssd.conf：

[sssd]
config_file_version = 2
services = nss, pam
domains = LDAP

[nss]

[pam]

[domain/LDAP]
id_provider = ldap
auth_provider = ldap
ldap_schema = rfc2307
ldap_uri = ldap://ldap.test.io
ldap_default_bind_dn = dc=ldap,dc=test,dc=io
ldap_default_authtok = password01
ldap_default_authtok_type = password
ldap_search_base = dc=ldap,dc=test,dc=io
ldap_user_search_base = dc=ldap,dc=test,dc=io
ldap_group_search_base = odc=ldap,dc=test,dc=io
ldap_user_object_class = inetOrgPerson
ldap_user_gecos = cn
override_shell = /bin/bash
cache_credentials = true
enumerate = true

但是，它看起来不是从客户端工作的，我没有从客户端获得ldap用户(我执行这个getent passwd)。

我得到了这个错误：

nss_ldap: reconnecting to LDAP server...
nss_ldap: reconnecting to LDAP server (sleeping 1 seconds)...
nss_ldap: could not search LDAP server - Server is unavailable
No passwd entry for user 'test'

下面是配置sssd客户端enter link description here的参考

对这个案例有什么建议吗？

谢谢

Answer 1

您收到的错误消息来自nss_ldap，而不是nss_sss。因此，我假设在/etc/nsswitch.conf中，您已经单独或在sss之前配置了ldap模块。如果用户信息将由sssd返回，则使用sss nsswich模块。

我也建议不要使用enumerate=true，除非你的目录很小。

Answer 2

在/etc/nsswitch.conf中，请确保：

passwd: files sss
shadow: files sss
groups: files sss

当然，在/etc/pam.d/system-auth-ac和/etc/pam.d/password-auth-ac堆栈中，您必须使用pam_sss.so库。