getent passwd não funciona; Autenticação CentOS 7 e SSSD LDAP

9

Instalei o CentOS 7 em um novo servidor. Todos os meus servidores obtêm autenticação de usuário final através do LDAPS em vários sistemas como RHEL5, Debian e Solaris. Notei que há uma nova camada no CentOS 7 que é SSS acima do NSS e do PAM. Enfim, tento replicar o mesmo tipo de conexão que o outro servidor.

O comando ldapsearch -xestá vinculando no LDAP, mas não no LDAPS.

Ao cavar o problema, tentei fazer uma conexão no LDAP apertando a camada SSS colocando essas linhas no meu /etc/nsswitch.conf

passwd:     files ldap #sss 
shadow:     files ldap #sss 
group:      files ldap #sss 

E eu adicionei esta linha no /etc/sssd/sssd.conf

cache_credentials = False

E eu reiniciei o ssd.

systemctl restart sssd

Eu verifico com o comando authconfig --teste tudo parece ok: ( http://www.heypasteit.com/clip/1LZ2 )

dubis
fonte

Respostas:

9

Não tenho certeza se esta é a solução correta, mas notei nas perguntas frequentes do SSSD este ponto:

Quando devo habilitar a enumeração no SSSD? ou Por que a enumeração está desativada por padrão?

"Enumeração" é o termo do SSSD para "ler e exibir todos os valores de um mapa específico (usuários, grupos, etc.)". Desabilitamos isso por padrão no SSSD para minimizar a carga nos servidores com os quais o SSSD deve se comunicar. Na maioria das operações, nunca será necessário listar o conjunto completo de usuários ou grupos. Os aplicativos geralmente solicitam informações sobre usuários ou grupos específicos.

A enumeração de todas as entradas tem um impacto negativo na carga no servidor e no desempenho no cliente (pois precisamos salvar todos os relacionamentos complexos entre os usuários e os grupos aos quais eles pertencem no cache local). Por isso, enviamos com enumerações desativadas (o mesmo comportamento do winbind do projeto Samba).

Você só deve ativar enumerações (e os problemas de desempenho resultantes) se tiver aplicativos ou scripts em seu ambiente que absolutamente possam recuperar as listas completas. Nesses casos, a enumeração pode ser ativada definindo

   [domain/<domainname>]
   enumerate = true
   ...

no seu arquivo sssd.conf.

Isso permitiu a capacidade de getent passwdexibir todas as contas disponíveis via SSSD. Esteja avisado de que isso pode ser um obstáculo ao desempenho.

slm
fonte