उबंटू पर समूह के नाम के बजाय SID को SID नंबर क्यों लौटाता है?

Aug 17 2020

मैं Ubuntu 18.04 होस्ट पर प्रमाणीकरण के लिए krb5 का उपयोग करने के लिए sssd की कोशिश कर रहा हूं और यह पता नहीं लगा सकता कि वास्तविक उपयोगकर्ता समूहों को कैसे दिखाया जाए ( groupsमानव पठनीय नामों के बजाय किसी प्रकार का Windows SID दिखाता है)। प्राथमिक समूह ठीक दिखता है (डोमेन उपयोगकर्ता ...) लेकिन बाकी (पूरक) सभी Sxxx संख्याएं हैं। यह एक एडी सेटिंग या मेरे sssd विन्यास के साथ कुछ है?

$ groups
Domain [email protected] [email protected] [email protected]...

sssd.conf

[nss]
   filter_groups        = root
   filter_users         = root
   reconnection_retries = 3

[pam]
   reconnection_retries = 3

[sssd]
   domains              = ad.mycorp.com
   config_file_version  = 2
   services             = nss, pam
   reconnection_retries = 3
   sbus_timeout         = 30

[domain/ad.mycorp.com]
   ad_domain            = ad.mycorp.com
   krb5_realm           = ad.mycorp.com
   realmd_tags          = manages-system joined-with-adcli
   cache_credentials    = True
   default_shell        = /bin/bash
   fallback_homedir     = /home/%d/%u

   krb5_store_password_if_offline   = True
   use_fully_qualified_names        = True

   ldap_sasl_authid     = UBU-TEST1$
   ldap_id_mapping      = True

   access_provider      = ldap
   id_provider          = ldap
   auth_provider        = krb5
   chpass_provider      = krb5

   ldap_uri             = ldaps://ad.mycorp.com
   ldap_search_base     = ou=mycorp,dc=mycorp,dc=com
   ldap_tls_cacert      = /etc/ssl/certs/ca-certificates.crt
   ldap_tls_reqcert     = allow
   dns_discovery_domain = ad.mycorp.com

   ldap_user_search_base   = ou=userid,ou=mycorp,dc=mycorp,dc=com
   ldap_group_search_base  = ou=mycorp,dc=mycorp,dc=com
   ldap_user_object_class  = user
   ldap_user_name          = sAMAccountName
   ldap_user_fullname      = displayName
   ldap_user_home_directory = unixHomeDirectory
   ldap_user_principal     = userPrincipalName
   ldap_group_object_class = group
   ldap_group_name         = sAMAccountName

   ldap_schema                = rfc2307bis
   ldap_access_order          = expire
   ldap_account_expire_policy = ad
   ldap_force_upper_case_realm = true

जवाब

NikhilSuryawanshi Aug 19 2020 at 17:20

ldap_id_mapping = false

यह आपके AD से POSIX विशेषताएँ प्राप्त करेगा।

यदि आप इस विकल्प को True पर सेट करते हैं तो sssd SID से UID, GID उत्पन्न करेगा।

NikhilSuryawanshi Sep 06 2020 at 09:01

क्या आपने sssd कैश को साफ़ किया है? #systemctl stop sssd; rm -r / var / lib / sss / db / *; systemctl स्टार्ट sssd

सुनिश्चित करें कि आपके पास AD में POSIX विशेषताएँ सेट हैं। Ldapsearch द्वारा भी सत्यापित किया जा सकता है।