我已经设置了 sssd 和 LDAP。用户进行身份验证并登录。我的问题是 sssd 似乎忽略了 ldap_access_filter 选项并允许所有用户登录。我检查了日志/调试,并且 pam_sss 每次都会授权用户,而不管过滤器如何(我尝试了几个不同的过滤器,结果都相同)。
这是用于配置系统的命令:
authconfig
--updateall --passalgo=md5 --enableldap --enableldapauth \
--ldapserver=ldaps://ldap.example.com \
--ldapbase=ou=people,dc=example,dc=com \
--enableldaptls --enableldapstarttls --disablekrb5 \
--ldaploadcacert=http://certserver/cacerts/cacert.pem \
--enablesssd --enablesssdauth --enableshadow \
--enablecachecreds --enablemkhomedir
这是/etc/sssd/sssd.conf:
[domain/default]
debug_level = 9
ldap_id_use_start_tls = True
cache_credentials = True
ldap_search_base = ou=people,dc=example,dc=com
id_provider = ldap
auth_provider = ldap
ldap_access_filter = memberOf=cn=sysadmins,ou=people,dc=example,dc=com
chpass_provider = ldap
ldap_uri = ldaps://ldap.example.com
ldap_tls_cacertdir = /etc/openldap/cacerts
[sssd]
services = nss, pam
config_file_version = 2
domains = default
[nss]
[pam]
[sudo]
[autofs] …为 Windows 2012 设置企业 CA。在生成初始根 CA 时,选择了 SHA512。事实证明,这会导致我们不知道的 TLS 1.2 问题。
我正在尝试生成一个不是 SHA512 的新自签名 CA。我能找到的唯一选项和说明是更新不会更改证书类型的现有 CA。
是否有执行此操作的过程,或者是否必须删除并重新安装 CA 服务才能生成新的 CA?
我正在尝试使用 Chef 添加/修改一些本地用户帐户。无论出于何种原因,LDAP 中都有重复的帐户。由于系统使用 sssd/pam/ldap,它会将用户视为存在,但无法修改它们,因为它们不在 /etc/passwd 中。
有没有办法完全绕过 ldap 帐户,这样它们就不会被识别?然后 Chef 将正确创建它们。