getent passwd no funciona; Autenticación CentOS 7 y SSSD LDAP

9

Instalé CentOS 7 en un nuevo servidor. Todos mis servidores obtienen autenticación de usuario final a través de LDAPS en varios sistemas como RHEL5, Debian y Solaris. Noté que hay una nueva capa en CentOS 7 que es SSS por encima de NSS y PAM. De todos modos, trato de replicar el mismo tipo de conexión que el otro servidor.

El comando ldapsearch -xes vinculante en LDAP, pero no en LDAPS.

Mientras cavaba el problema, intenté hacer una conexión en LDAP apretando la capa SSS poniendo estas líneas en mi /etc/nsswitch.conf

passwd:     files ldap #sss 
shadow:     files ldap #sss 
group:      files ldap #sss 

Y agregué esta línea en el /etc/sssd/sssd.conf

cache_credentials = False

Y reinicié SSD.

systemctl restart sssd

Compruebo con el comando authconfig --testy todo parece estar bien: ( http://www.heypasteit.com/clip/1LZ2 )

Dubis
fuente

Respuestas:

9

No estoy seguro de si esta es la solución adecuada, pero noté en las preguntas frecuentes de SSSD este punto:

¿Cuándo debo habilitar la enumeración en SSSD? o ¿Por qué la enumeración está deshabilitada de manera predeterminada?

"Enumeración" es el término de SSSD para "leer y mostrar todos los valores de un mapa en particular (usuarios, grupos, etc.)". Desactivamos esto de manera predeterminada en el SSSD para minimizar la carga en los servidores con los que SSSD debe comunicarse. En la mayoría de las operaciones, nunca será necesario enumerar el conjunto completo de usuarios o grupos. Las aplicaciones generalmente solicitarán información sobre usuarios o grupos específicos.

Enumerar todas las entradas tiene un impacto negativo en la carga en el servidor y el rendimiento en el cliente (ya que tenemos que guardar todas las complejas relaciones entre los usuarios y los grupos a los que pertenecen en la memoria caché local). Entonces, debido a esto, enviamos con enumeraciones deshabilitadas (el mismo comportamiento que el winbind del proyecto Samba).

Solo debe habilitar las enumeraciones (y los problemas de rendimiento resultantes) si tiene aplicaciones o scripts en su entorno que absolutamente deben poder recuperar las listas completas. En estos casos, la enumeración se puede habilitar configurando

   [domain/<domainname>]
   enumerate = true
   ...

en su archivo sssd.conf.

Esto permitió la capacidad de getent passwdmostrar todas las cuentas que estaban disponibles a través de SSSD. Tenga en cuenta que esto puede ser un obstáculo para el rendimiento.

slm
fuente