Estou executando um servidor LDAPS 389DS (com certificados autoassinados) em uma máquina remota Fedora 30 chamada "miservidor.midominio.local". Lá eu tenho um diretório típico contendo entradas de usuário e grupo.
Eu posso recuperar dados de diretório de outra máquina Fedora 30 (a do cliente) sem nenhum problema. Por exemplo, executando este comando ("usu1ldap" é o nome de um usuário localizado dentro de uma unidade organizacional "usuários")...:
LDAPTLS_REQCERT=nunca ldapsearch -H ldaps://miservidor.midominio.local -b "dc=midominio,dc=local" uid=usu1ldap
...Eu recebo:
Mas eu quero fazer login na máquina do cliente com "usu1ldap". Então eu configurei o arquivo /etc/sssd/sssd.conf na máquina cliente assim...:
...Eu executei sudo authselect select sssd para configurar "automagicamente" os frameworks NSS/PAM e finalmente reiniciei o serviço sssd.
No entanto, algo não funciona: getent passwd não mostra o usuário "usu1ldap" e, obviamente, id usu1ldap recupera "usu1ldap" também
O que estou fazendo errado? Eu tentei entender os arquivos de log do sssd, mas sem nenhuma pista. Estou um pouco desesperado...
Muito obrigado por sua paciência.
NOTA: Observe que no arquivo sssd.conf eu tive que atribuir o nome e a senha do gerenciador do diretório para as linhas "ldap_default_bind_dn" e "ldap_default_authtok" respectivamente porque meu servidor 389DS por padrão não permite consultas anônimas e eu não sei como mudar isso (ainda).
Bem, eu resolvi o problema: eu esqueci de adicionar a linha services=nss,pam no arquivo "/etc/sssd/sssd.conf" (abaixo da seção [sssd]. Isso foi tudo. Oh meu… Eu pensei que o systemd poderia se importar disso (consulte https://docs.pagure.org/SSSD.sssd/design_pages/systemd_activatable_responders.html ), mas parece que não.
Para conhecer toda a história até chegar a este (feliz) final, você pode ler este post completo: https://ask.fedoraproject.org/t/cant-authenticate-against-a-389ds-server-i-suspect- é-um-sssd-problema-no-lado-cliente/3347
Obrigado mesmo assim