sssd가 Ubuntu에서 그룹 이름 대신 SID 번호를 반환하는 이유는 무엇입니까?
Aug 17 2020
난 SSSD 시도 우분투 18.04 호스트에서 인증을 위해 사용 KRB5에를 실제 사용자 그룹에게 (표시하는 방법을 알아낼 수 없습니다 groups쇼 윈도우 SID 대신 사람이 읽을 수있는 이름의 일종). 기본 그룹은 괜찮아 보이지만 (도메인 사용자 ...) 나머지 (보조)는 모두 Sxxx 번호입니다. 이것은 AD 설정입니까 아니면 내 sssd 구성과 관련된 것입니까?
$ groups
Domain [email protected] [email protected] [email protected]...
sssd.conf
[nss]
filter_groups = root
filter_users = root
reconnection_retries = 3
[pam]
reconnection_retries = 3
[sssd]
domains = ad.mycorp.com
config_file_version = 2
services = nss, pam
reconnection_retries = 3
sbus_timeout = 30
[domain/ad.mycorp.com]
ad_domain = ad.mycorp.com
krb5_realm = ad.mycorp.com
realmd_tags = manages-system joined-with-adcli
cache_credentials = True
default_shell = /bin/bash
fallback_homedir = /home/%d/%u
krb5_store_password_if_offline = True
use_fully_qualified_names = True
ldap_sasl_authid = UBU-TEST1$
ldap_id_mapping = True
access_provider = ldap
id_provider = ldap
auth_provider = krb5
chpass_provider = krb5
ldap_uri = ldaps://ad.mycorp.com
ldap_search_base = ou=mycorp,dc=mycorp,dc=com
ldap_tls_cacert = /etc/ssl/certs/ca-certificates.crt
ldap_tls_reqcert = allow
dns_discovery_domain = ad.mycorp.com
ldap_user_search_base = ou=userid,ou=mycorp,dc=mycorp,dc=com
ldap_group_search_base = ou=mycorp,dc=mycorp,dc=com
ldap_user_object_class = user
ldap_user_name = sAMAccountName
ldap_user_fullname = displayName
ldap_user_home_directory = unixHomeDirectory
ldap_user_principal = userPrincipalName
ldap_group_object_class = group
ldap_group_name = sAMAccountName
ldap_schema = rfc2307bis
ldap_access_order = expire
ldap_account_expire_policy = ad
ldap_force_upper_case_realm = true
답변
NikhilSuryawanshi Aug 19 2020 at 17:20
ldap_id_mapping = false
그러면 AD에서 POSIX 속성을 가져옵니다.
이 옵션을 True로 설정하면 sssd가 SID에서 UID, GID를 생성합니다.
NikhilSuryawanshi Sep 06 2020 at 09:01
sssd 캐시를 지웠습니까? #systemctl stop sssd; rm -r / var / lib / sss / db / *; systemctl 시작 sssd
AD에 POSIX 속성이 설정되어 있는지 확인하십시오. ldapsearch에서도 확인할 수 있습니다.