基于KDC和OpenLDAP的SSSD?
我已经安装了一个由OpenLDAP实例支持的MIT实例,这些实例都运行在RHEL 7上。我想配置SSSD来将用户和组从这个组合中拉出来,但是我遇到了很多问题,因为大多数文档都假设AD。
我现在遇到的问题是,从日志中看,SSSD似乎需要为每个用户提供某种数字ID,用于在本地创建一个UID。问题是,KDC似乎根本没有将其存储在LDAP中。我还注意到KDC只存储完整主体(user@DOMAIN.COM),这意味着当我尝试以用户名登录时,我没有任何字段可供使用。
是否有办法让KDC在LDAP中存储更多的信息,或者让SSSD处理我们拥有的信息?
此外,任何关于建立这样的连接的文档都将不胜感激。
SSSD Config:
[sssd]
services = nss, pam
domains = DOMAIN.COM
debug_level = 10
[nss]
debug_level = 10
[pam]
debug_level = 10
[domain/DOMAIN.COM]
debug_level = 10
id_provider = ldap
auth_provider = krb5
access_provider = ldap
chpass_provider = krb5
dyndns_update = False
realmd_tags = manages-system joined-with-samba
cache_credentials = False
enumerate = False
entry_cache_timeout = 86400
min_id = 1000000
default_shell = /bin/bash
fallback_homedir = /home/%u@%d
use_fully_qualified_names = True
#LDAP Configuration
ldap_uri = ldap://ldapserver:389
ldap_search_base = dc=domain,dc=com
ldap_user_search_base = dc=domain,dc=com
ldap_group_search_base = dc=domain,dc=com
ldap_id_mapping = True
ldap_idmap_range_min = 100000
ldap_idmap_range_max = 2000100000
ldap_idmap_range_size = 2000000000
ldap_idmap_default_domain = <DOMAIN>
ldap_access_filter = &(objectClass=krbPrincipal)
ldap_user_object_class = krbPrincipal
ldap_user_name = krbPrincipalName
ldap_user_principal = krbPrincipalName
ldap_user_fullname = krbPrincipalName
ldap_user_uid_number = krbPrincipalName
ldap_user_objectsid = krbPrincipalName
#KRB5 Configuration
krb5_server = kdc_server
krb5_realm = DOMAIN.COM样本条目:
dn: krbPrincipalName=test-user2@DOMAIN.COM,cn=DOMAIN.COM,cn=kerberos,dc=domain,dc=com
ufn: test-user2@DOMAIN.COM, DOMAIN.COM, kerberos, DOMAIN.com
krbLoginFailedCount: 0
krbPrincipalName: test-user2@DOMAIN.COM
krbPrincipalKey:: ...
krbLastPwdChange: 20190524234020Z
krbExtraData:: ...
krbExtraData:: ...
objectClass: krbPrincipal
objectClass: krbPrincipalAux
objectClass: krbTicketPolicyAux回答 1
Server Fault用户
发布于 2019-05-29 15:11:54
所以我从来没有找到一个很好的答案,但我能够解决它,并希望张贴这个谷歌用户偶然发现这一点。
最后,我基本上只使用了OpenLDAP和KDC,好像它们是完全分开的。为了方便起见,我一直用LDAP支持KDC,但我不再使用这个事实了。相反,当我们添加一个用户时,我将它分别添加到KDC和LDAP中。然后,我将SSSD指向LDAP区域,在那里手动添加用户,但仍然使用KDC进行身份验证。虽然到目前为止我遇到了一些小故障,但它似乎工作得很好。
如果有人有一个真正的解决方案以上,我仍然希望听到!
https://serverfault.com/questions/968781
复制相似问题
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号