काम नहीं कर पाती; CentOS 7 और SSSD LDAP प्रमाणीकरण


9

मैंने एक नए सर्वर पर CentOS 7 स्थापित किया। मेरे सभी सर्वरों को आरएचईएल 5, डेबियन और सोलारिस के रूप में विभिन्न सिस्टम पर एलडीएपीएस के माध्यम से अंतिम उपयोगकर्ता प्रमाणीकरण मिलता है। मैंने देखा कि CentOS 7 पर एक नई परत है जो NSS और PAM से ऊपर SSS है। वैसे भी, मैं अन्य सर्वर के समान कनेक्शन को दोहराने की कोशिश करता हूं।

आदेश ldapsearch -xLDAP में बाध्यकारी है, लेकिन LDAPS में नहीं है।

समस्या को खोदते समय, मैंने एलडीएपी में एक कनेक्शन करने की कोशिश की जिसमें एसएसएस परत को निचोड़ते हुए इन लाइनों को मेरे अंदर डाल दिया गया /etc/nsswitch.conf

passwd:     files ldap #sss 
shadow:     files ldap #sss 
group:      files ldap #sss 

और मैंने इस लाइन को जोड़ा /etc/sssd/sssd.conf

cache_credentials = False

और मैंने ssd को पुनः आरंभ किया।

systemctl restart sssd

मैं कमांड के साथ जाँच करता हूँ authconfig --testऔर सब कुछ ठीक लगता है: ( http://www.heypasteit.com/clip/1LZ2 )

जवाबों:


9

मुझे यकीन नहीं है कि यह उचित समाधान है लेकिन SSSD में इस बिंदु पर ध्यान दिया गया है :

मुझे एसएसएसडी में गणना को कब सक्षम करना चाहिए? या एन्यूमरेशन डिफॉल्ट रूप से अक्षम क्यों है?

"गणना" एक विशेष मानचित्र (उपयोगकर्ता, समूह, आदि) के सभी मूल्यों को पढ़ने और प्रदर्शित करने के लिए एसएसएसडी का शब्द है। हम सर्वर पर लोड को कम करने के लिए SSSD में डिफ़ॉल्ट रूप से इसे अक्षम करते हैं जिसके साथ SSSD को संवाद करना होगा। अधिकांश ऑपरेशन में, उपयोगकर्ताओं या समूहों के संपूर्ण सेट को सूचीबद्ध करना कभी भी आवश्यक नहीं होगा। एप्लिकेशन आमतौर पर विशिष्ट उपयोगकर्ताओं या समूहों के बारे में जानकारी का अनुरोध करेंगे।

सभी प्रविष्टियों को मानने से सर्वर पर लोड और ग्राहक पर प्रदर्शन पर नकारात्मक प्रभाव पड़ता है (क्योंकि हमें उपयोगकर्ताओं और उन समूहों के बीच के सभी जटिल संबंधों को बचाना है, जो वे स्थानीय कैश में हैं)। तो इस वजह से, हम विकलांगों के साथ जहाज करते हैं (सांबा परियोजना के विंडबिंड के समान व्यवहार)।

यदि आपके पास अपने वातावरण में एप्लिकेशन या स्क्रिप्ट हैं जो पूरी सूची को पुनः प्राप्त करने में सक्षम होना चाहिए, तो आपको केवल गणना (और परिणामी प्रदर्शन मुद्दों) को सक्षम करना चाहिए। इन मामलों में, गणना द्वारा गणना सक्षम की जा सकती है

   [domain/<domainname>]
   enumerate = true
   ...

आपकी sssd.conf फ़ाइल में।

इसने getent passwdSSSD के माध्यम से उपलब्ध सभी खातों को प्रदर्शित करने की क्षमता को सक्षम किया । चेतावनी दी है कि यह एक प्रदर्शन खींचें हो सकता है।

हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.