我今天遇到了SSSD的主要问题,新创建的用户无法登录.排除故障后,我发现问题出在AD用户对象安全权限中.好像我的团队成员最近更改了经过身份验证的用户的权限,并取消选中了读取复选框.
所以我的问题是哪个用户使用SSSD连接到域的Linux服务器来验证和检索AD对象信息?由于已经为经过身份验证的用户撤消读取权限的用户非常关键,我想知道用户通过SSSD进行身份验证的用户.可能是需要权限的Linux服务器的计算机对象吗?
奇怪的是,当我暂时启用读取权限时,id为用户,之后一切正常.然后我取消选中经过身份验证的用户的读取权限,似乎一切都在继续工作..(当然在清空sssd缓存之后)任何关于哪个权限是受欢迎的用户所需的最低权限的任何见解.
我们发现它是实际验证的AD计算机对象.赋予此对象对用户的读取权限使id命令可以检索组.问题是哪些权限是最低要求的,因此id命令可以获取所有组?
解决方法
除非您在sssd.conf中指定了ldap_default_bind_dn和ldap_default_authtok,否则它将默认为对指定LDAP服务器的匿名绑定以检索架构和对象.其他任何内容(如登录)都将使用提供的凭据.
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。