getent passwd ไม่ทำงาน; การพิสูจน์ตัวตน CentOS 7 และ SSSD LDAP

ฉันติดตั้ง CentOS 7 บนเซิร์ฟเวอร์ใหม่เอี่ยม เซิร์ฟเวอร์ของฉันทั้งหมดได้รับการรับรองความถูกต้องของผู้ใช้ผ่าน LDAPS บนระบบต่าง ๆ เช่น RHEL5, Debian และ Solaris ฉันสังเกตเห็นว่ามีเลเยอร์ใหม่ใน CentOS 7 ซึ่งเป็น SSS เหนือ NSS และ PAM อย่างไรก็ตามฉันพยายามจำลองการเชื่อมต่อชนิดเดียวกันกับเซิร์ฟเวอร์อื่น

คำสั่งldapsearch -xมีผลผูกพันกับ LDAP แต่ไม่ใช่ใน LDAPS

ในขณะที่ขุดปัญหาฉันพยายามทำการเชื่อมต่อใน LDAP บีบเลเยอร์ SSS วางบรรทัดเหล่านี้ในของฉัน /etc/nsswitch.conf

passwd:     files ldap #sss 
shadow:     files ldap #sss 
group:      files ldap #sss 

และฉันเพิ่มบรรทัดนี้ใน /etc/sssd/sssd.conf

cache_credentials = False

และฉันเริ่มต้นใหม่ ssd

systemctl restart sssd

ฉันตรวจสอบกับคำสั่งauthconfig --testและทุกอย่างดูโอเค: ( http://www.heypasteit.com/clip/1LZ2 )

ฉันไม่แน่ใจว่านี่เป็นวิธีแก้ปัญหาที่เหมาะสมหรือไม่ แต่สังเกตเห็นในคำถามที่พบบ่อยของ SSSDในจุดนี้:

ฉันควรเปิดใช้งานการแจงนับใน SSSD เมื่อใด หรือเพราะเหตุใดการแจงนับถูกปิดใช้งานโดยค่าเริ่มต้น

"การแจงนับ" เป็นคำศัพท์ของ SSSD สำหรับ "การอ่านและแสดงค่าทั้งหมดของแผนที่เฉพาะ (ผู้ใช้กลุ่ม ฯลฯ )" เราปิดใช้งานสิ่งนี้ตามค่าเริ่มต้นใน SSSD เพื่อลดภาระให้กับเซิร์ฟเวอร์ที่ SSSD ต้องสื่อสาร ในการดำเนินการส่วนใหญ่การแสดงชุดของผู้ใช้หรือกลุ่มที่สมบูรณ์จะไม่จำเป็น โดยทั่วไปแอปพลิเคชันจะขอข้อมูลเกี่ยวกับผู้ใช้หรือกลุ่มเฉพาะ

การแจกแจงรายการทั้งหมดมีผลกระทบเชิงลบในการโหลดบนเซิร์ฟเวอร์และประสิทธิภาพการทำงานบนไคลเอนต์ (เนื่องจากเราต้องบันทึกความสัมพันธ์ที่ซับซ้อนทั้งหมดระหว่างผู้ใช้และกลุ่มที่พวกเขาอยู่ในแคชภายในเครื่อง) ด้วยเหตุนี้เราจึงปิดการใช้งานการแจกแจง (พฤติกรรมเช่นเดียวกับ winbind ของ Samba)

คุณควรเปิดใช้งานการแจงนับ (และปัญหาประสิทธิภาพการทำงานที่เป็นผลลัพธ์) หากคุณมีแอปพลิเคชันหรือสคริปต์ในสภาพแวดล้อมของคุณที่จะต้องสามารถเรียกคืนรายการทั้งหมด ในกรณีเหล่านี้การแจงนับสามารถเปิดใช้งานได้โดยการตั้งค่า

   [domain/<domainname>]
   enumerate = true
   ...

ในไฟล์ sssd.conf ของคุณ

สิ่งนี้ทำให้ความสามารถในgetent passwdการแสดงบัญชีทั้งหมดที่มีอยู่ใน SSSD ถูกเตือนว่านี่อาจเป็นการลากประสิทธิภาพ