Есть один старый-старый сервер на дебиане, единственная задача которого давать кое-какие ресурсы пользователям, которые на другом сервере в лдап хранятся. Работает 100 лет уже, и все вроде нормально, но периодически дает отлуп там, где должен давать добро.
Начал разбираться - оказывается он видит только дефолтную группу пользователя!
То есть как-то так:
Для локального
id administrator
uid=1000(administrator) gid=1000(administrator) группы=1000(administrator),24(cdrom),25(floppy),29(audio),30(dip),44(video),46(plugdev)
Для лдап
uid=15000(user)) gid=10000(domainadmins) группы=10000(domainadmins)
Хотя у пользователя ldap тоже групп много.
При этом пользователь логинится нормально. И getent group показывает все группы правильно.
Куда копать?
Ниже настройки подключения:
cat /etc/nslcd.conf
# /etc/nslcd.conf
# nslcd configuration file. See nslcd.conf(5)
# for details.
# The user and group nslcd should run as.
uid nslcd
gid nslcd
#log syslog
# The location at which the LDAP server(s) should be reachable.
uri ldap://192.168.2.254
# The search base that will be used for all queries.
base dc=fs,dc=lan
# The LDAP protocol version to use.
ldap_version 3
#pam_password md5
# The DN to bind with for normal lookups.
#binddn cn=user,dc=fs,dc=lan
#bindpw password
# The DN used for password modifications by root.
#rootpwmoddn cn=admin,dc=example,dc=com
# SSL options
ssl no
#tls_reqcert never
# The search scope.
scope sub
#nss_nested_groups yes
#off# automatically commented out next line because this is now the default
#off# map group uniqueMember member
Сложный
