我在名为“miservidor.midominio.local”的 Fedora 30 远程机器上运行 389DS LDAPS 服务器(带有自签名证书)。我有一个包含用户和组条目的典型目录。
我可以毫无问题地从另一台 Fedora 30 机器(客户端的机器)检索目录数据。例如,执行此命令(“usu1ldap”是位于“usuarios”组织单位内的用户名)...:
LDAPTLS_REQCERT=never ldapsearch -H ldaps://miservidor.midominio.local -b "dc=midominio,dc=local" uid=usu1ldap
...我得到:
但我想用“usu1ldap”登录客户端机器。所以我在客户端机器中配置了 /etc/sssd/sssd.conf 文件,如下所示......:
...我已经执行了sudo authselect select sssd来“自动”配置 NSS/PAM 框架,最后我重新启动了 sssd 服务。
但是,有些东西不起作用:getent passwd不显示“usu1ldap”用户,显然,id usu1ldap 也检索“未知用户”
我究竟做错了什么?我试图掌握 sssd 的日志文件,但没有任何线索。我有点绝望了……
非常感谢您的耐心。
注意:请注意,在 sssd.conf 文件中,我必须将目录管理器的名称和密码分别分配给“ldap_default_bind_dn”和“ldap_default_authtok”行,因为我的 389DS 服务器默认情况下不允许匿名查询,我不知道如何改变这个(还)。
好吧,我已经解决了这个问题:我忘记在“/etc/sssd/sssd.conf”文件中添加 services=nss,pam 行(在 [sssd] 部分下方。就是这样。哦,天哪……我以为 systemd 会关心这个(见https://docs.pagure.org/SSSD.sssd/design_pages/systemd_activatable_responders.html)但似乎没有。
要了解所有完整的故事,直到到达这个(快乐的)结局,您可以阅读这篇完整的帖子:https ://ask.fedoraproject.org/t/cant-authenticate-against-a-389ds-server-i-suspect-它的-a-sssd-problem-on-the-client-side/3347
不管怎么说,还是要谢谢你