Вопросы Теги

SSSD работает, но UID/GID неверны?

В коде две ошибки:

  1. При использовании [... ]для тестов разделите тесты на несколько [... ]логическими операторами в -между:

    while [ expression ] && [ expression ]; do

    Вы можете использовать свой способ построения теста, если используете bashи его[[... ]]:

    while [[ expression && expression ]]; do

    ... но, вероятно, он все равно будет более читабельным, если он будет разделен как 

    while [[ expression ]] && [[ expression ]]; do

    по крайней мере, для более длинных или большего количества выражений. Только для арифметического теста -вы можете использовать ((... ))в bashи других оболочках, которые его поддерживают, например. (( arithmetic expression )) && (( arithmetic expression )). В ((... ))вы также должны использовать <, >и т. д. вместо -lt, -gtи т. д.

  2. Предполагая, что вы используете массивы bash, индекс в массиве оценивается в арифметическом контексте. Это означает, что ${a[$d]}можно записать как ${a[d]}. Что еще более важно, ${a[$(d-1)]}, вероятно, является ошибкой, поскольку он попытается запустить команду с именем d-1. Вероятно, это должно быть ${a[d - 1]}.

0
15.01.2020, 01:42
1 ответ

Судя по статье , найденной здесь, кажется, проблема устранена, файл sssd.conf теперь выглядит так... 

[sssd]
domains = ucera.local
config_file_version = 2
services = nss, pam

[domain/ucera.local]
ad_domain = co.local
krb5_realm = CO.LOCAL
realmd_tags = manages-system joined-with-samba
cache_credentials = False
id_provider = ad
krb5_store_password_if_offline = False
default_shell = /bin/bash
ldap_id_mapping = False
ldap_user_uid_number = uidNumber
ldap_user_gid_number = gidNumber
ldap_group_gid_number = gidNumber
use_fully_qualified_names = False
fallback_homedir = /home/%u
access_provider = ad
default_domain_suffix = co.local

Изменения:

  1. ldap_id_mapping = False— это, я думаю, основное исправление, которое позволяет использовать идентификаторы AD posix ID, а не вычислять их на основе атрибута пользователей AD objectSID
  2. Я также добавил настройки ldap_..._...id_number =...и установил их в соответствующие поля атрибутов в AD для пользователей. После выполнения части (1 )UID на машине не изменились. По сравнению с другими sssd -, использующими серверы, у которых не было этой проблемы, единственным отличием в sssd.conf было изменение (1 ). Я думаю, что на других машинах уже было ldap_id_mapping = False, поэтому, когда пользователи AD впервые вошли в систему на этих машинах, они автоматически получили свои идентификаторы AD posix UID. На этом запутанном сервере идентификаторы UID уже были установлены неправильно, поэтому необходимо явно принудительно использовать атрибуты AD uidNumberи gidNumber.

Затем перезапустите службу sssd.

Не очень хорошо разбираюсь в AD и SSSD, поэтому, если я что-то неправильно истолковал, оставьте комментарий, чтобы сообщить мне об этом.

0
28.01.2020, 02:56

Теги

Похожие вопросы

  • 0
    На Solaris я получаю хорошее отображение ID... на linux, а не, почему? 11.12.2018
    Я использую сервер Active Directory для аутентификации, Solaris прекрасно работает, следуя этому Howto. Все работает, и мой пользователь "user1" получает правильный UID. на Windows AD, что составляет 10000. На Линуксе я следую ...
  • 3
    Отредактируйте корневой каталог для пользователя LDAP в Linux 23.12.2013
    У меня есть пользователь LDAP, который получает доступ к серверу на основе наличия соответствующего атрибута хоста LDAP через sssd. Этот пользователь не обнаруживается в/etc/passwd, потому что он не локален. Как я изменяю его дом...
  • 3
    Нет пользователя с uid 721001106 при запуске команды ssh в каталоге chroot SSH 12.03.2019
    Я использую Debian 8 с аутентификацией SSSD. Аутентификация работает и ssh работает нормально. Я скопировал все библиотеки и т. д. в свой chroot-каталог SSH, и все мои приложения работают, кроме ssh ...
  • 2
    sssd: проблемы с логином с AD пользователем 16.07.2014
    Я имею, устанавливают мой samba4 DC для получения сведений об учетной записи от центрального AD поставщика через sssd. Что я хотел бы сделать, теперь разрешение некоторое подмножество этих пользователей для входа в систему через ssh (к машинам Linux) или
  • 2
    pam_faillock и AD / CentOS 7.2 04.03.2017
    Итак, у меня есть система CentOS 7.2, и я использовал realmd для присоединения к домену AD. Я могу сделать # id {username} @ {domain}, который полностью перечислит всю информацию AD для этого пользователя. Потрясающий! Использование стандартного pam.d /
  • 0
    Предотвращение авторизации vsFTP через AD 12.03.2018
    У меня для тестирования установлена ​​очень маленькая виртуальная машина, работающая под управлением CentOS 1708 с настроенным vsftp. я использовал https://www.rootusers.com/how-to-join-centos-linux-to-an-active-directory-domain/ для настройки ...
  • 1
    getent passwd не возвращает AD пользователей Centos 7 SSSD 18.03.2015
    Я привык присоединяться к r2 AD окон 2008 года с Krb5.conf/ldap.conf/smb.conf и pam.d/authconfig_ac и способностью перечислить пользователей с getent passwd, но после присоединения песни 7 систем я могу войти в систему прекрасный...