SSSDは初めてですが、id {ldap user}
が複数のテストユーザーの予想されるuid値とgid値を返すことを考慮して、SSSDを正しく構成したと思います。テストマシンとして2台のCentOS6.4サーバーを使用しています。 1つはApacheDSを実行し、もう1つはSSSDを実行しています。ただし、これらのユーザーのいずれかを使用してssh経由で、またはコンソールに直接ログインしようとすると、アクセスが拒否されます。ここ数日、SSSDログを注いでいますが、他にどこを見ればよいかわかりません。今のところ、すべての構成ファイルを含めるのではなく、クライアントサーバーで次のauthconfig --enablesssd --enablesssdauth --enablelocauthorize --update
を実行したと言います。以下でSSSD設定を確認し、 ここ SSSD_Defaultログを確認してください。表示したい追加のログを教えてください。できるだけ早く取得します。
ご協力いただきありがとうございます!
cat /etc/sssd/sssd.conf [sssd] config_file_version = 2 services = nss、pam domains = default debug_level = 4 [nss] filter_users = root debug_level = 4 [pam] debug_level = 4 [domain/default ] debug_level = 4 ldap_tls_reqcert = never auth_provider = ldap ldap_schema = rfc2307 ldap_search_base = dc = example、dc = net #ldap_group_member = memberUid id_provider = ldap ldap_id_use_start_tls = True chpass_provider = ldap ldap_uri = ldap:/ /sea-ldap-01.app.example.net:10389 cache_credentials = False ldap_tls_cacertdir = /etc/openldap/certs ldap_tls_cacert =/etc/openldap/certs/sea -ldap-01.pem entry_cache_timeout = 600 ldap_network_timeout = 3 #ldap_access_filter = ldap_user_search_base = ou = people、dc = example、dc = n et ldap_group_search_base = ou = groups、dc = example、dc = net
そのログによると、SSSDのLDAPプロバイダーがクラッシュし、再起動する必要があったようです。そのため、アクセスが拒否されました。
具体的に参照してください:
(Fri Jun 21 22:42:46 2013) [sssd[be[default]]] [sdap_process_message] (0x4000): Message type: [LDAP_RES_BIND]
(Fri Jun 21 22:42:46 2013) [sssd[be[default]]] [simple_bind_done] (0x2000): Server returned control [1.3.6.1.4.1.42.2.27.8.5.1].
そしてそれはに行きます
(Fri Jun 21 22:42:46 2013) [sssd[be[default]]] [server_setup] (0x0400): CONFDB: /var/lib/sss/db/config.ldb
(Fri Jun 21 22:42:46 2013) [sssd[be[default]]] [recreate_ares_channel] (0x0100): Initializing new c-ares channel
(Fri Jun 21 22:42:46 2013) [sssd[be[default]]] [resolv_get_family_order] (0x1000): Lookup order: ipv4_first
これらの行は、サーバーが再起動していることを示しています。推測では、クライアントでldapパスワードポリシーを処理しているときに問題が発生したと思います。クラッシュする前の最後のことは、ldap_pwd_exopのLDAPコードへの参照だったからです。
/ var/log/messagesでクラッシュの兆候がないか確認し、CentOSにバグを報告してください。理想的には、sssd、openldap、Ding-libsパッケージのdebuginfoをインストールしてから、gdbを使用してsssd_beプロセスにアタッチし、クラッシュのバックトレースを取得してバグレポートに含めます。