2 votes

84104 avatar

Peut sssd fournir une adhésion à un groupe inter-domaines?

Demandé el 17 de Août, 2016
Quand la question a-t-elle été
1007 affichage
Nombre de visites la question a
2 Réponses
Nombre de réponses aux questions
Résolu
Situation réelle de la question

Comment puis-je faire en sorte que sssd recherche les appartenance à des groupes dans tous les domaines configurés?

Étant données les configurations ci-dessous, alice(@bar) et bob(@foo) devraient être membres du groupe testgroup(@bar). Cependant, seul alice est considéré comme membre de testgroup par sssd.

En regardant une capture tcpdump, il semblerait qu'alice ne recherche que (&(&(member=uid=alice,ou=users,dc=bar,dc=example,dc=com)(objectClass=posixGroup))(cn=*)) dans le périmètre ou=groups,dc=bar,dc=example,dc=com et que bob ne recherche que (&(&(member=uid=bob,ou=users,dc=foo,dc=example,dc=com)(objectClass=posixGroup))(cn=*)) dans le périmètre ou=groups,dc=foo,dc=example,dc=com.

Comment puis-je modifier le comportement de sssd (ou de mon backend OpenLDAP) pour permettre les appartenances inter-domaines?

dn: cn=testgroup,ou=groups,dc=bar,dc=example,dc=com
objectClass: groupOfNames
objectClass: posixGroup
cn: testgroup
gidNumber: 54321
member: uid=alice,ou=users,dc=bar,dc=example,dc=com
member: uid=bob,ou=users,dc=foo,dc=example,dc=com

[sssd]
config_file_version = 2
services = nss, pam, autofs
domains = FOO.EXAMPLE.COM, BAR.EXAMPLE.COM

[nss]
filter_groups = root
filter_users = root
reconnection_retries = 3

[pam]
reconnection_retries = 3

[autofs]

[domain/FOO.EXAMPLE.COM]
id_provider = ldap
auth_provider = krb5
chpass_provider = krb5
ldap_uri = _srv_
ldap_search_base = dc=foo,dc=example,dc=com
ldap_user_search_base = ou=users,dc=foo,dc=example,dc=com?onelevel?
ldap_group_search_base = ou=groups,dc=foo,dc=example,dc=com?onelevel?
ldap_schema = rfc2307bis
ldap_sasl_mech = GSSAPI
krb5_realm = FOO.EXAMPLE.COM

ldap_autofs_entry_key = automountKey
ldap_autofs_map_name = automountMapName
ldap_autofs_search_base = ou=automount,dc=foo,dc=example,dc=com

[domain/BAR.EXAMPLE.COM]
id_provider = ldap
auth_provider = ldap
chpass_provider = ldap
ldap_uri = _srv_
ldap_search_base = dc=bar,dc=example,dc=com
ldap_user_search_base = ou=users,dc=bar,dc=example,dc=com?onelevel?
ldap_group_search_base = ou=groups,dc=bar,dc=example,dc=com?onelevel?
ldap_schema = rfc2307bis
ldap_sasl_mech = GSSAPI

ldap_autofs_entry_key = automountKey
ldap_autofs_map_name = automountMapName
ldap_autofs_search_base = ou=automount,dc=bar,dc=example,dc=com
Demandé el 17 de Août, 2016 par 84104

Réponses

Trop de publicités?

1voto

84104 avatar
84104 Points 12538

Utilisez plusieurs ldap_*_search_base dans un domaine.

ldap_user_search_base = ou=utilisateurs,dc=bar,dc=exemple,dc=com?onelevel??ou=utilisateurs,dc=foo,dc=exemple,dc=com?onelevel?
ldap_group_search_base = ou=groupes,dc=bar,dc=exemple,dc=com?onelevel??ou=groupes,dc=foo,dc=exemple,dc=com?onelevel?
Répondu el 17 de Août, 2016 par 84104 (12538 Points )

0voto

jhrozek avatar
jhrozek Points 1280

SSSD ne prend pas en charge les adhésions entre domaines croisés entre deux strophes de domaine différentes. Cependant, si votre serveur est AD, vous pouvez simplement utiliser id_provider=ad, puis les groupes à portée universelle devraient être résolus avec SSSD.

Répondu el 17 de Août, 2016 par jhrozek (1280 Points )

Questions en vedette

Top Tags

Dans notre réseau

SistemesEz.com

SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X