Tham gia Đăng nhập
Điểm:0
avatar Server

Tôi có thể sử dụng với tư cách là người dùng ldap [mở] trên sssd, nhưng tôi không thể ssh hoặc đăng nhập trực tiếp với cùng một người dùng, tôi còn thiếu điều gì?

lá cờ cf
thistleknot

Trên máy khách sssd

authselect chọn sssd --force
kích hoạt systemctl --now sssd

[root@ldap-sssd ~]# id adam
uid=16859(adam) gid=100(người dùng) nhóm=100(người dùng)
[root@ldap-sssd ~]# su adam
bash-4.4$ su adam
Mật khẩu:
su: Lỗi xác thực
bash-4,4 $

nếu tôi chạy

người dùng sssctl kiểm tra adam

tôi thấy điều này

người dùng: adam
hành động: hành động
dịch vụ: hệ thống-auth

Kết quả tra cứu người dùng SSSD nss:
 - tên người dùng: adam
 - id người dùng: 16859
 - id nhóm: 100
 - địa chất: adam
 - thư mục chính: /home/adam
 - vỏ: /bin/bash

Kết quả tra cứu người dùng SSSD InfoPipe:
 - tên: adam
 - số uid: 16859
 - gidNumber: 100
 - địa chất: adam
 - homeDirectory: /home/adam
 - đăng nhậpShell: /bin/bash

thử nghiệm pam_acct_mgmt

pam_acct_mgmt: Quyền bị từ chối

Môi trường PAM:
 - không có env -

trên ldapmaster tôi xác nhận mật khẩu là chính xác

ldapsearch -x -H ldap://ldapmaster \
      -D uid=adam,ou=Users,DC=srv,DC=world \
      -w 1234 \
      -b uid=adam,ou=Users,DC=srv,DC=world \
      -s cơ sở \
        "(lớp đối tượng=*)"       

[root@ldapmaster ~]# xóa
      -s cơ sở "(objectclass=*)"4 -b uid=adam,ou=Users,DC=srv,DC=world
# LDIF mở rộng
#
# LDAPv3
# cơ sở <uid=adam,ou=Users,DC=srv,DC=world> với phạm vi baseObject
# bộ lọc: (lớp đối tượng=*)
# yêu cầu: TẤT CẢ
#

# adam, Người dùng, srv.world
dn: uid=adam,ou=Users,dc=srv,dc=world
đối tượngClass: hàng đầu
objectClass: tài khoản
objectClass: posixAccount
objectClass: shadowAccount
cn: adam
uid: adam
uidSố: 16859
gidNumber: 100
homeDirectory: /home/adam
đăng nhậpShell: /bin/bash
địa chỉ: adam
bóng tốiThay đổi cuối cùng: 0
bóng Tối đa: 0
bóngCảnh báo: 0
mật khẩu người dùng:: e1NTSEF9OVcvdStLUTM3Y1F2dE5hVGR2WktuSDZSMm0zRGlUckw=

# tìm kêt quả
tìm kiếm: 2
kết quả: 0 Thành công

# numResponses: 2
# numEntries: 1

cấu hình máy khách sssd

nsswitch.conf

[root@ldap-sssd ~]# grep "^[^#;]" /etc/nsswitch.conf
mật khẩu: tập tin sss systemd
nhóm: tập tin sss systemd
nhóm mạng: tập tin sss
automount: tập tin sss
dịch vụ: tập tin sss
bóng: tập tin sss
máy chủ: tệp dns myhostname
bí danh: tập tin
ête: tập tin
gshadow: tập tin
mạng: tệp dns
giao thức: tập tin
khóa công khai: tập tin
rpc: tập tin

ldap.conf

[root@ldap-sssd ~]# grep "^[^#;]" /etc/openldap/ldap.conf
CƠ SỞ dc=srv,dc=thế giới
URI ldap: // ldapmaster
SASL_NOCANON bật
URI ldap: // ldapmaster
CƠ SỞ dc=srv,dc=thế giới

sssd.conf

[root@ldap-sssd ~]# grep "^[^#;]" /etc/sssd/sssd.conf
[sssd]
dịch vụ = nss, pam, sudo
config_file_version = 2
tên miền = mặc định
[sudo]
[nss]
[pam]
offline_credentials_expiration = 60
[miền/mặc định]
ldap_id_use_start_tls = Sai
cache_credentials = Đúng
ldap_search_base = dc=srv,dc=thế giới
id_provider = ldap
auth_provider = ldap
chpass_provider = ldap
access_provider = ldap
sudo_provider = ldap
ldap_uri = ldap://ldapmaster
ldap_default_bind_dn = cn=Quản lý,ou=Người dùng,dc=srv,dc=thế giới
ldap_default_authtok_type = mật khẩu
ldap_default_authtok = 1234
ldap_search_timeout = 50
ldap_network_timeout = 60
ldap_access_order = bộ lọc
ldap_access_filter = ((objectClass=posixAccount))

tập lệnh thiết lập ldapmaster

#https://www.server-world.info/en/note?os=CentOS_7&p=openldap
yum -y cài đặt openldap-servers tường lửa openldap-clients mlocate man --nobest
cập nhậtb
cp /usr/share/openldap-servers/DB_CONFIG.example /var/lib/ldap/DB_CONFIG 
chown ldap. /var/lib/ldap/DB_CONFIG 
systemctl bắt đầu tát 
systemctl kích hoạt tát
con mèo <<EOF > chrootpw.ldif 
# chỉ định mật khẩu được tạo ở trên cho phần "olcRootPW"
dn: olcDatabase={0}config,cn=config
changetype: sửa đổi
thêm: olcRootPW
olcRootPW: 1234
EOF
ldapadd -Y BÊN NGOÀI -H ldapi:/// -f chrootpw.ldif 
ldapadd -Y BÊN NGOÀI -H ldapi:/// -f /etc/openldap/schema/cosine.ldif
ldapadd -Y BÊN NGOÀI -H ldapi:/// -f /etc/openldap/schema/nis.ldif
ldapadd -Y BÊN NGOÀI -H ldapi:/// -f /etc/openldap/schema/inetorgperson.ldif
con mèo <<EOF > chdomain.ldif
dn: olcDatabase={1}màn hình,cn=config
changetype: sửa đổi
thay thế: olcAccess
olcAccess: {0}đến * theo dn.base="gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth"
  được đọc bởi dn.base="cn=Manager,dc=srv,dc=world" được đọc bởi * none

dn: olcDatabase={2}mdb,cn=config
changetype: sửa đổi
thay thế: olcSuffix
olcSuffix: dc=srv,dc=thế giới

dn: olcDatabase={2}mdb,cn=config
changetype: sửa đổi
thay thế: olcRootDN
olcRootDN: cn=Quản lý,dc=srv,dc=thế giới

dn: olcDatabase={2}mdb,cn=config
changetype: sửa đổi
thêm: olcRootPW
olcRootPW: 1234

dn: olcDatabase={2}mdb,cn=config
changetype: sửa đổi
thêm: olcAccess
olcAccess: {0}to attrs=userPassword,shadowLastChange by
  dn="cn=Manager,dc=srv,dc=world" viết bởi xác thực ẩn danh do tự viết bởi * none
olcAccess: {1}đến dn.base="" của * đọc
olcAccess: {2}tới * bởi dn="cn=Manager,dc=srv,dc=world" viết bởi * read
EOF
ldapmodify -Y BÊN NGOÀI -H ldapi:/// -f chdomain.ldif
con mèo <<EOF> basedomain.ldif
# thay thế thành tên miền riêng của bạn cho phần "dc=***,dc=***"

dn: dc=srv,dc=thế giới
đối tượngClass: hàng đầu
đối tượngLớp: dcObject
lớp đối tượng: tổ chức
o: Thế giới máy chủ
dc: Srv

dn: cn=Quản lý,dc=srv,dc=thế giới
lớp đối tượng: vai trò tổ chức
cn: quản lý
Mô tả: Trình quản lý thư mục

dn: ou=Người dùng,dc=srv,dc=thế giới
đối tượngClass: tổ chứcUnit
đối tượngClass: hàng đầu
ou: Người dùng

dn: ou=Nhóm,dc=srv,dc=thế giới
đối tượngClass: tổ chứcUnit
đối tượngClass: hàng đầu
bạn: Nhóm

EOF
ldapadd -x -w 1234 -D cn=Manager,dc=srv,dc=world -f basedomain.ldif
systemctl bắt đầu tường lửa
systemctl kích hoạt tường lửa
tường lửa-cmd --add-service=ldap -- Permanent 
tường lửa-cmd --reload

con mèo <<EOF > adam.ldif
dn: uid=adam,ou=Users,dc=srv,dc=world
đối tượngClass: hàng đầu
objectClass: tài khoản
objectClass: posixAccount
objectClass: shadowAccount
cn: adam
uid: adam
uidSố: 16859
gidNumber: 100
homeDirectory: /home/adam
đăng nhậpShell: /bin/bash
địa chỉ: adam
mật khẩu người dùng: 1234
bóng tốiThay đổi cuối cùng: 0
bóng Tối đa: 0
bóngCảnh báo: 0
EOF
ldapadd -x -w 1234 -D "cn=Manager,dc=srv,dc=world" -f adam.ldif
ldappasswd -s 1234 -w 1234 -D "cn=Manager,dc=srv,dc=world" -x "uid=adam,ou=Users,dc=srv,dc=world"

Hướng dẫn tham khảo

https://www.server-world.info/en/note?os=CentOS_7&p=openldap

https://kifarunix.com/configure-sssd-for-openldap-authentication-on-centos-8/

193
0 + 0
Điểm:0
avatar Server
lá cờ cf
thistleknot

hai điều

Tôi đã bỏ lỡ một bước trên ứng dụng khách sssd

kiểm tra cấu hình sssctl

bảo tôi sửa đổi một tệp trong/etc/sssd/

chown -R root: /etc/sssd
chmod 0600 -R /etc/sssd

và tôi đã thay đổi trong sssd.conf

access_provider = đơn giản
0 + 0
lá cờ VietNam
Phan Văn Trường
Câu hỏi này là trong các ngôn ngữ khác:

Đăng câu trả lời

Hầu hết mọi người không hiểu rằng việc đặt nhiều câu hỏi sẽ mở ra cơ hội học hỏi và cải thiện mối quan hệ giữa các cá nhân. Ví dụ, trong các nghiên cứu của Alison, mặc dù mọi người có thể nhớ chính xác có bao nhiêu câu hỏi đã được đặt ra trong các cuộc trò chuyện của họ, nhưng họ không trực giác nhận ra mối liên hệ giữa câu hỏi và sự yêu thích. Qua bốn nghiên cứu, trong đó những người tham gia tự tham gia vào các cuộc trò chuyện hoặc đọc bản ghi lại các cuộc trò chuyện của người khác, mọi người có xu hướng không nhận ra rằng việc đặt câu hỏi sẽ ảnh hưởng—hoặc đã ảnh hưởng—mức độ thân thiện giữa những người đối thoại.