Темы

1

Учётные записи в *nix системах / [SOLVED] LDAP аутентификация сломалась после апгрейда до CentOS 6.4 (sssd)

« : 02 Апрель 2013, 09:15:33 »

Добрый день!
У меня есть сервер:

Код: [Выделить]

@(#) $OpenLDAP: slapd 2.4.23 (Aug  8 2012 16:29:21)
В конфигурации ЛДАП есть такая группа:

Код: [Выделить]

    ldapsearch -x -b 'cn=groupname,ou=UnixShell,ou=Services,o=example,c=ru'
    # extended LDIF
    #
    # LDAPv3
    # base <cn=groupname,ou=UnixShell,ou=Services,o=example,c=ru> with scope subtree
    # filter: (objectclass=*)
    # requesting: ALL
    #
   
    # groupname, UnixShell, Services, example, ru
    dn: cn=groupname,ou=UnixShell,ou=Services,o=example,c=ru
    cn: groupname
    objectClass: groupOfUniqueNames
    objectClass: top
    uniqueMember: cn=Name Second,ou=Sysadmins,ou=SoftwareDevelopment,ou=IT,ou=Accounts,o=example,c=ru

    # search result
    search: 2
    result: 0 Success
И пользователь
   

Код: [Выделить]

    # ldapsearch -x -b 'cn=Name Second,ou=Sysadmins,ou=SoftwareDevelopment,ou=IT,ou=Accounts,o=example,c=ru'
    # extended LDIF
    #
    # LDAPv3
    # base <cn=Name Second,ou=Sysadmins,ou=SoftwareDevelopment,ou=IT,ou=Accounts,o=example,c=ru> with scope subtree
    # filter: (objectclass=*)
    # requesting: ALL
    #
   
    # Name Second, Sysadmins, SoftwareDevelopment, IT, Accounts, example, ru
    dn: cn=Name Second,ou=Sysadmins,ou=SoftwareDevelopment,ou=IT,ou=Accounts,o=
     example,c=ru
    homeDirectory: /home/user
    loginShell: /bin/bash
    objectClass: person
    objectClass: organizationalPerson
    objectClass: inetOrgPerson
    objectClass: posixAccount
    objectClass: top
    objectClass: shadowAccount
    shadowLastChange: 15361
    shadowMax: 99999
    shadowMin: 0
    shadowWarning: 7
    uid: user
    uidNumber: 7000
    cn: Name Second
    gidNumber: 702
   
    # search result
    search: 2
    result: 0 Success
   
    # numResponses: 2
    # numEntries: 1

Долгое время я использовал простую аутентификацию через pam_ldap, с апгрейдом по умолчанию стал использоваться sssd.

В pam_ldap было следующее:

Код: [Выделить]

    pam_groupdn cn=groupname,ou=UnixShell,ou=Services,o=example,c=ru
    pam_member_attribute uniquemember
Теперь в sssd.conf этот фильтр не работает

Код: [Выделить]

    access_provider = ldap
    ldap_access_filter = memberOf=cn=groupname,ou=UnixShell,ou=Services,o=example,c=ru
Что я делаю не так? Клиентские машины подключаются к серверу, но не находит пользователя при подключении через sshd. "su - user"  работает

Ошибка в sssd логе такая

Код: [Выделить]

    (Thu Mar 28 12:44:43 2013) [sssd[be[default]]] [sdap_access_filter_get_access_done] (0x0100): User [user] was not found with the specified filter. Denying access.
Настраивал следующим образом:

Код: [Выделить]

    authconfig --enablemkhomedir --updateall --enablesssd --enablesssdauth --enableldap --enableldapauth --disablenis --disablekrb5 --disablecachecreds --disablecache  --ldaploadcacert=$certurl"
CentOS release 6.4 (Final)

Все настройки делал через утилиты дистрибутива, руками ничего сломать не мог =)
Просто не ищет по групповому фильтру, думаю может в ЛДАП сервере теперь неверно сформирована группа? Подскажите пожалуйста в чем может быть загвоздка или покажите пример своей конфигурации.

Код: [Выделить]

    # cat /etc/sssd/sssd.conf
    [domain/default]
   
    ldap_uri = ldaps://ldap02.example.ru
    ldap_tls_cacertdir = /etc/openldap/cacerts
    ldap_id_use_start_tls = True
    cache_credentials = False
   
    ldap_search_base = o=example,c=ru
    krb5_realm = EXAMPLE.COM
    krb5_server = kerberos.example.com
   
    id_provider = ldap
    auth_provider = ldap
    chpass_provider = ldap
   
    access_provider = ldap
    ldap_access_filter = uniqueMember=cn=grouname,ou=UnixShell,ou=Services,o=example,c=ru
   
    debug_level = 255
    auth_provider = ldap
    chpass_provider = ldap
    [sssd]
    services = nss, pam
    config_file_version = 2
   
    domains = default
    [nss]
   
    [pam]
   
    [sudo]
   
    [autofs]
   
    [ssh]
   
    [pac]