無法針對 389DS 伺服器進行身份驗證。我懷疑這是客戶端的 SSSD 問題
我在名為“miservidor.midominio.local”的 Fedora 30 遠端機器上執行 389DS LDAPS 伺服器(帶有自簽名證書)。我有一個包含使用者和組條目的典型目錄。
我可以毫無問題地從另一台 Fedora 30 機器(客戶端的機器)檢索目錄數據。例如,執行此命令(“usu1ldap”是位於“usuarios”組織單位內的使用者名)…:
LDAPTLS_REQCERT = never ldapsearch -H ldaps: //miservidor.midominio.local -b “dc = midominio, dc = local” uid = usu1ldap
…我得到:
但我想用“usu1ldap”登錄客戶端機器。所以我在客戶端機器中配置了 /etc/sssd/sssd.conf 文件,如下所示……:
…我已經執行了sudo authselect select sssd來“自動”配置 NSS/PAM 框架,最後我重新啟動了 sssd 服務。
但是,有些東西不起作用:getent passwd不顯示“usu1ldap”使用者,顯然,id usu1ldap 也檢索“未知使用者”
我究竟做錯了什麼?我試圖掌握 sssd 的日誌文件,但沒有任何線索。我有點絕望了……
非常感謝您的耐心。
注意:請注意,在 sssd.conf 文件中,我必須分別將目錄管理器的名稱和密碼分配給“ldap_default_bind_dn”和“ldap_default_authtok”行,因為我的 389DS 伺服器預設情況下不允許匿名查詢,我不知道如何改變這個(還)。
好吧,我已經解決了這個問題:我忘記在“/etc/sssd/sssd.conf”文件中添加 services=nss,pam 行(如下
$$ sssd $$部分。這就是全部了。哦,我的……我認為 systemd 可以解決這個問題(請參閱https://docs.pagure.org/SSSD.sssd/design_pages/systemd_activatable_responders.html),但似乎沒有。 要了解所有完整的故事,直到到達這個(快樂的)結局,您可以閱讀這篇完整的文章:https ://ask.fedoraproject.org/t/cant-authenticate-against-a-389ds-server-i-suspect-它的-a-sssd-problem-on-the-client-side/3347
不管怎麼說,還是要謝謝你