今日の状況:複数のUbuntuクライアントに機能的なsssd-configがあります。この構成には、LDAPサーバーに対する認証が含まれています。 SASL-Mechは、「gssapi」で指定されたとおりであり、krb5-keytabファイルを使用します。大げさな機能:keytabファイルの指定されたユーザーは90日ごとに期限切れになります。それほど悪くはありませんが、クライアントでkeytabファイルを置き換えるには長い時間がかかり、追加するのはよりリスクが高くなります。
明日の状況は次のようになります。LDAPは匿名で読み取り可能ではなく、すべてのドメインユーザーが読み取りアクセス権を持つため、可能であれば、ログインに使用した資格情報を使用します。実際、LDAPに対する認証をチェックするためにアクティブなログイン資格情報をsssdに配置する考えはありません。どんな援助もいただければ幸いです!
このユーザーを期限切れにしないように依頼する前に:私たちは、自分で管理されていない複雑なネットワークにいて、それらのユーザーのみを使用することが許可されています。
Ldap_default_bind_dnをldap_default_authtok_type = passwordと一緒に使用してから、ログイン資格情報をldap_default_authtokに入れることができます。