Рейтинг:0

Вложенная группа AD не учитывается SSSD

флаг be

У меня есть присоединенный к домену сервер, настроенный с помощью sssd. В sssd.conf я использую

ad_access_filter = (memberof=CN=CustomGroup,OU=Security Group,DC=company,DC=com)

Это хорошо работает для пользователей в Пользовательская группа но не для пользователей в Nested_CustomGroup группа, входящая в состав Пользовательская группа

Мой sssd.conf выглядит следующим образом:

[СССД]
домены = компания.com
config_file_version = 2
услуги = nss, pam

[домен/company.com]
ad_domain = company.com
krb5_realm = КОМПАНИЯ.COM

cache_credentials = Истина
id_provider = объявление
krb5_store_password_if_offline = Истина
default_shell = /bin/bash
ldap_id_mapping = Истина
ignore_group_members = Ложь
ldap_group_nesting_level = 2
use_full_qualified_names = Ложь
fallback_homedir = /home/%u
регистр_чувствительно = ложь
access_provider = объявление
auth_provider = объявление
перечислить = ложь
ad_gpo_access_control = отключено
ad_access_filter = (memberof=CN=CustomGroup,OU=Security Group,DC=company,DC=com)

Журнал журнала sshd при входе пользователя из вложенной группы:

сервер sshd[30781]: pam_unix(sshd:auth): ошибка аутентификации; logname= uid=0 euid=0 tty=ssh ruser= rhost=x.x.x.x user=someuser
сервер sshd[30781]: pam_sss(sshd:auth): успешная аутентификация; logname= uid=0 euid=0 tty=ssh ruser= rhost=x.x.x.x user=someuser
сервер sshd [30781]: pam_sss (sshd: учетная запись): доступ запрещен для пользователя someuser: 6 (отказано в доступе)
server sshd[30781]: Неверный пароль для пользователя с x.x.x.x порта 26241 ssh2
сервер sshd [30781]: фатальный: доступ запрещен для пользователя someuser конфигурацией учетной записи PAM [preauth]

Любые идеи? Спасибо,

Рейтинг:0
флаг jo

Чтобы запросить рекурсивное или вложенное членство в группах учетной записи в отношении Active Directory в синтаксисе LDAP, вам необходимо использовать OID 1.2.840.113556.1.4.1941, который является OID для LDAP_MATCHING_RULE_IN_CHAIN или же LDAP_MATCHING_RULE_TRANSITIVE_EVAL

В вашем случае вам нужно настроить фильтр доступа на

(memberOf:1.2.840.113556.1.4.1941:=CN=CustomGroup,OU=Security Group,DC=company,DC=com)
Norskyi avatar
флаг be
Спасибо за эту прекрасную информацию. Я попробовал ваше предложение, но, к сожалению, в моем случае это не сработало.Журнал показывает те же ошибки
Norskyi avatar
флаг be
Мне здесь явно не хватает чего-то фундаментального. Я провел еще один эксперимент, создав еще одну группу, которая находится в той же родительской OU, что и CustomGroup. `CN=Nested_CustomGroup2,OU=Security Group,DC=company,DC=com #член указанной ниже группы` `CN=CustomGroup,OU=Security Group,DC=company,DC=com` и это прекрасно работает (с/без OID) В моем исходном примере было следующее: `CN=Nested_CustomGroup,OU=SomeOU1,OU=SomeOU2,DC=company,DC=com # член указанной ниже группы` `CN=CustomGroup,OU=Security Group,DC=company,DC=com` @Точка с запятой
Semicolon avatar
флаг jo
У вас настроена база поиска для sssd и охватывает ли она OU другой группы?
Norskyi avatar
флаг be
У меня нет (согласно моему исходному сообщению). Я попробую, спасибо! Чтение состояния ldap_search_base: «По умолчанию: если не установлено, используется значение атрибута defaultNamingContext или namingContexts из RootDSE сервера LDAP». Я не уверен, что это поможет
Semicolon avatar
флаг jo
Какова область действия первой вложенной группы?
Norskyi avatar
флаг be
это "Глобальный", как и все они
Norskyi avatar
флаг be
Мой предыдущий эксперимент был испорчен из-за кэширования sssd. Я очистил кеш sssd и повторил попытку с моими исходными настройками (исходный пост) минус `ldap_group_nesting_level = 2` и `ignore_group_members`, установленным на `True`. Как и ожидалось, пользователю из Nested_CustomGroup было отказано. В тот момент, когда я добавил `ldap_search_base`, тот же пользователь смог войти в систему
Norskyi avatar
флаг be
могу ли я попросить вас либо обновить ваше решение, либо создать новое, чтобы я мог отметить его как решение? Вы повели меня по правильному пути, и я очень ценю это! @Точка с запятой

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.