getent passwd çalışmıyor; CentOS 7 ve SSSD LDAP kimlik doğrulaması

CentOS 7'yi yepyeni bir sunucuya kurdum. Tüm sunucularım RHDA5, Debian ve Solaris gibi çeşitli sistemlerde LDAPS aracılığıyla son kullanıcı kimlik doğrulaması alıyor. CentOS 7'de NSS ve PAM'ın üstünde SSS olan yeni bir katman olduğunu fark ettim. Her neyse, diğer sunucu ile aynı bağlantı türünü çoğaltmaya çalışıyorum.

Komut ldapsearch -xLDAP'de bağlayıcıdır, ancak LDAPS'ta bağlayıcı değildir.

Sorunu kazarken, LDAP'ta bu satırları koyarak SSS katmanını sıkarak bir bağlantı yapmaya çalıştım /etc/nsswitch.conf

passwd:     files ldap #sss 
shadow:     files ldap #sss 
group:      files ldap #sss 

Ve bu satırı /etc/sssd/sssd.conf

cache_credentials = False

Ve SSD'yi yeniden başlattım.

systemctl restart sssd

Komuta bakıyorum authconfig --testve her şey yolunda görünüyor: ( http://www.heypasteit.com/clip/1LZ2 )

Bunun doğru çözüm olup olmadığından emin değilim ama SSSD SSS'de bu noktada dikkat edin:

SSSD'de numaralandırmayı ne zaman etkinleştirmeliyim? veya Numaralandırma neden varsayılan olarak devre dışıdır?

"Numaralandırma", SSSD'nin "belirli bir haritanın tüm değerlerini (kullanıcılar, gruplar vb.) Okumak ve görüntülemek" için kullanılan terimidir. SSSD'nin iletişim kurması gereken sunuculardaki yükü en aza indirmek için SSSD'de bunu varsayılan olarak devre dışı bırakırız. Çoğu işlemde, kullanıcı veya grupların tamamını listelemek asla gerekli olmayacaktır. Uygulamalar genellikle belirli kullanıcılar veya gruplar hakkında bilgi ister.

Tüm girişlerin numaralandırılmasının sunucu üzerindeki yük ve istemci üzerindeki performans üzerinde olumsuz bir etkisi vardır (kullanıcılar ve yerel önbelleğe ait oldukları gruplar arasındaki tüm karmaşık ilişkileri kaydetmemiz gerektiğinden). Bu nedenle, sayımları devre dışı bırakılmış olarak gönderiyoruz (Samba projesinin winbind'i ile aynı davranış).

Sayımları (ve sonuçta ortaya çıkan performans sorunlarını) yalnızca ortamınızda tam listelerin tamamını kesinlikle alabilmesi gereken uygulamalarınız veya komut dosyalarınız varsa etkinleştirmelisiniz. Bu durumlarda, numaralandırma ayarlanarak etkinleştirilebilir

   [domain/<domainname>]
   enumerate = true
   ...

sssd.conf dosyanızda.

Bu, getent passwdSSSD aracılığıyla kullanılabilen tüm hesapları görüntüleme olanağını sağladı . Bunun bir performans sürüklemesi olabileceği konusunda uyarılmalıdır.