Задать вопрос
@nikweter
Системный администратор

Как заставить debian видеть все группы у пользователя в ldap?

Есть один старый-старый сервер на дебиане, единственная задача которого давать кое-какие ресурсы пользователям, которые на другом сервере в лдап хранятся. Работает 100 лет уже, и все вроде нормально, но периодически дает отлуп там, где должен давать добро.
Начал разбираться - оказывается он видит только дефолтную группу пользователя!
То есть как-то так:
Для локального
id administrator
uid=1000(administrator) gid=1000(administrator) группы=1000(administrator),24(cdrom),25(floppy),29(audio),30(dip),44(video),46(plugdev)

Для лдап
uid=15000(user)) gid=10000(domainadmins) группы=10000(domainadmins)

Хотя у пользователя ldap тоже групп много.
При этом пользователь логинится нормально. И getent group показывает все группы правильно.

Куда копать?

Ниже настройки подключения:
cat /etc/nslcd.conf
# /etc/nslcd.conf
# nslcd configuration file. See nslcd.conf(5)
# for details.

# The user and group nslcd should run as.
uid nslcd
gid nslcd

#log syslog
# The location at which the LDAP server(s) should be reachable.
uri ldap://192.168.2.254

# The search base that will be used for all queries.
base dc=fs,dc=lan

# The LDAP protocol version to use.
ldap_version 3
#pam_password md5
# The DN to bind with for normal lookups.
#binddn cn=user,dc=fs,dc=lan
#bindpw password

# The DN used for password modifications by root.
#rootpwmoddn cn=admin,dc=example,dc=com

# SSL options
ssl no
#tls_reqcert never

# The search scope.
scope sub
#nss_nested_groups yes
#off# automatically commented out next line because this is now the default
#off# map group uniqueMember member
  • Вопрос задан
  • 482 просмотра
Подписаться 2 Сложный Комментировать
Решения вопроса 1
@nikweter Автор вопроса
Системный администратор
В общем, моя глупость и невнимательность. Некоторое время назад мигрировал с openldap на freeipa. Авторы последнего прямо говорят - если хотите напрямую лазить запросами в лдап, включайте режим совместимости и ищите по отдельной ветке dc=compat,dc=domain,dc=loc В ней сохраняется совместимость с rfc.
Собственно, я не проверял это, просто перенастроил дебиан на freeipa-client, вот это все. Но впоследствии столкнулся с тем, что openfire тоже не видит принадлежность пользователя группам. Написав в список рассылки, получил пинок в сторону документации.
Ответ написан
Комментировать
Пригласить эксперта
Ответы на вопрос 1
Viji
@Viji
DevOps Engineer
Ответ написан
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы