Tham gia Đăng nhập
Điểm:0
avatar Server

openldap tại sao tôi không thể id tài khoản người dùng?

lá cờ cf
thistleknot

Tôi đã làm theo hướng dẫn openldap này

https://kifarunix.com/install-and-setup-openldap-on-rocky-linux-8/

Tất cả đã hoạt động cho đến khi tôi cố gắng định danh người dùng trên máy khách (làm theo hướng dẫn này: https://kifarunix.com/configure-sssd-for-ldap-authentication-on-rocky-linux-8/)

Tôi nhận được thông báo về "không có người dùng như vậy"

Hướng dẫn openldap liệt kê objectClass cho users.ldif

dn: uid=johndoe,ou=people,dc=ldapmaster,dc=kifarunix-demo,dc=com
đối tượngClass: inetOrgPerson
objectClass: posixAccount
objectClass: shadowAccount

và tôi đã nhận thấy các trang web khác sử dụng

objectClass: tài khoản

(xem: https://www.thegeekstuff.com/2015/02/openldap-add-users-groups/ & https://forums.centos.org/viewtopic.php?t=54808)

Tôi đã thử cả hai cách (và thậm chí đã thử cả hai cách)

Tôi có thể thực hiện tìm kiếm ldap từ máy khách đến máy chủ và truy vấn bất kỳ đối tượng nào trong số đó

Tôi không chắc mình đang thiếu gì.

Tôi đã kiểm tra nsswitch.conf của mình và đảm bảo rằng sss có trước các tệp cho passwd

82
0 + 0
lá cờ de
kofemann
Kiểm tra xem người dùng có được phép trong */etc/security/access.conf* không
0
Hồi đáp
Điểm:0
avatar Server
lá cờ cf
thistleknot

Tôi đã thử nghiệm cơ bản và tắt TLS.

Sự cố của tôi có thể xảy ra trong SSSD.conf và không có đúng objectClass cũng như DN, CN và OU phù hợp

Người phục vụ

#https://www.server-world.info/en/note?os=CentOS_7&p=openldap
yum -y cài đặt openldap-servers tường lửa openldap-clients mlocate man --nobest
cập nhậtb
cp /usr/share/openldap-servers/DB_CONFIG.example /var/lib/ldap/DB_CONFIG 
chown ldap. /var/lib/ldap/DB_CONFIG 
systemctl bắt đầu tát 
systemctl kích hoạt tát
con mèo <<EOF > chrootpw.ldif 
# chỉ định mật khẩu được tạo ở trên cho phần "olcRootPW"
dn: olcDatabase={0}config,cn=config
changetype: sửa đổi
thêm: olcRootPW
olcRootPW: 1234
EOF
ldapadd -Y BÊN NGOÀI -H ldapi:/// -f chrootpw.ldif 
ldapadd -Y BÊN NGOÀI -H ldapi:/// -f /etc/openldap/schema/cosine.ldif
ldapadd -Y BÊN NGOÀI -H ldapi:/// -f /etc/openldap/schema/nis.ldif
ldapadd -Y BÊN NGOÀI -H ldapi:/// -f /etc/openldap/schema/inetorgperson.ldif
con mèo <<EOF > chdomain.ldif
dn: olcDatabase={1}màn hình,cn=config
changetype: sửa đổi
thay thế: olcAccess
olcAccess: {0}đến * theo dn.base="gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth"
  được đọc bởi dn.base="cn=Manager,dc=srv,dc=world" được đọc bởi * none

dn: olcDatabase={2}mdb,cn=config
changetype: sửa đổi
thay thế: olcSuffix
olcSuffix: dc=srv,dc=thế giới

dn: olcDatabase={2}mdb,cn=config
changetype: sửa đổi
thay thế: olcRootDN
olcRootDN: cn=Quản lý,dc=srv,dc=thế giới

dn: olcDatabase={2}mdb,cn=config
changetype: sửa đổi
thêm: olcRootPW
olcRootPW: 1234

dn: olcDatabase={2}mdb,cn=config
changetype: sửa đổi
thêm: olcAccess
olcAccess: {0}to attrs=userPassword,shadowLastChange by
  dn="cn=Manager,dc=srv,dc=world" viết bởi xác thực ẩn danh do tự viết bởi * none
olcAccess: {1}đến dn.base="" của * đọc
olcAccess: {2}tới * bởi dn="cn=Manager,dc=srv,dc=world" viết bởi * read
EOF
ldapmodify -Y BÊN NGOÀI -H ldapi:/// -f chdomain.ldif
con mèo <<EOF> basedomain.ldif
# thay thế thành tên miền riêng của bạn cho phần "dc=***,dc=***"

dn: dc=srv,dc=thế giới
đối tượngClass: hàng đầu
đối tượngLớp: dcObject
lớp đối tượng: tổ chức
o: Thế giới máy chủ
dc: Srv

dn: cn=Quản lý,dc=srv,dc=thế giới
lớp đối tượng: vai trò tổ chức
cn: quản lý
Mô tả: Trình quản lý thư mục

dn: ou=Người dùng,dc=srv,dc=thế giới
đối tượngClass: tổ chứcUnit
đối tượngClass: hàng đầu
ou: Người dùng

dn: ou=Nhóm,dc=srv,dc=thế giới
đối tượngClass: tổ chứcUnit
đối tượngClass: hàng đầu
bạn: Nhóm

EOF
ldapadd -x -w 1234 -D cn=Manager,dc=srv,dc=world -f basedomain.ldif
systemctl bắt đầu tường lửa
systemctl kích hoạt tường lửa
tường lửa-cmd --add-service=ldap -- Permanent 
tường lửa-cmd --reload

con mèo <<EOF > adam.ldif
dn: uid=adam,ou=Users,dc=srv,dc=world
đối tượngClass: hàng đầu
objectClass: tài khoản
objectClass: posixAccount
objectClass: shadowAccount
cn: adam
uid: adam
uidSố: 16859
gidNumber: 100
homeDirectory: /home/adam
đăng nhậpShell: /bin/bash
địa chỉ: adam
mật khẩu người dùng: 1234
bóng tốiThay đổi cuối cùng: 0
bóng Tối đa: 0
bóngCảnh báo: 0
EOF
ldapadd -x -w 1234 -D "cn=Manager,dc=srv,dc=world" -f adam.ldif
ldappasswd -s 1234 -w 1234 -D "cn=Manager,dc=srv,dc=world" -x "uid=adam,ou=Users,dc=srv,dc=world"

SSSD.conf [máy khách]

con mèo <<EOF > /etc/sssd/sssd.conf
[sssd]
dịch vụ = nss, pam, sudo
config_file_version = 2
tên miền = mặc định

[sudo]

[nss]

[pam]
offline_credentials_expiration = 60

[miền/mặc định]
ldap_id_use_start_tls = Sai
cache_credentials = Đúng
ldap_search_base = dc=srv,dc=thế giới
id_provider = ldap
auth_provider = ldap
chpass_provider = ldap
access_provider = ldap
sudo_provider = ldap
ldap_uri = ldap://ldapmaster
ldap_default_bind_dn = cn=Quản lý,dc=srv,dc=thế giới
#ldap_default_authtok_type = mật khẩu
ldap_default_authtok = 1234
#ldap_user_search_base = CN=Người dùng,DC=srv,DC=thế giới
#ldap_tls_reqcert = nhu cầu
#ldap_tls_cacert = /etc/pki/tls/cacert.crt
#ldap_tls_cacertdir = /etc/pki/tls
ldap_search_timeout = 50
ldap_network_timeout = 60
#ldap_sudo_search_base = ou=SUDOers,dc=ldapmaster,dc=ldapmaster,dc=com
ldap_access_order = bộ lọc
ldap_access_filter = (objectClass=posixAccount)
EOF
0 + 0
lá cờ VietNam
Phan Văn Trường
Câu hỏi này là trong các ngôn ngữ khác:

Đăng câu trả lời

Hầu hết mọi người không hiểu rằng việc đặt nhiều câu hỏi sẽ mở ra cơ hội học hỏi và cải thiện mối quan hệ giữa các cá nhân. Ví dụ, trong các nghiên cứu của Alison, mặc dù mọi người có thể nhớ chính xác có bao nhiêu câu hỏi đã được đặt ra trong các cuộc trò chuyện của họ, nhưng họ không trực giác nhận ra mối liên hệ giữa câu hỏi và sự yêu thích. Qua bốn nghiên cứu, trong đó những người tham gia tự tham gia vào các cuộc trò chuyện hoặc đọc bản ghi lại các cuộc trò chuyện của người khác, mọi người có xu hướng không nhận ra rằng việc đặt câu hỏi sẽ ảnh hưởng—hoặc đã ảnh hưởng—mức độ thân thiện giữa những người đối thoại.