LDAP-Auth über sssd mit 2 Domains und cross-mapping

Alle weiteren Dienste, die nicht in die drei oberen Foren gehören.
Antworten
poncho
Beiträge: 106
Registriert: 23.12.2007 19:22:35

LDAP-Auth über sssd mit 2 Domains und cross-mapping

Beitrag von poncho » 06.02.2014 17:52:13

Hallo zusammen,

ich habe ein Problem mit der LDAP-Authentifizierung an zwei Domains.
In der sssd.conf sind zwei LDAP-Domains eingetragen (eine UNIX-LDAP-Server und ein Active Directory). Die Anmeldung klappt grundsätzlich auch mit Konten aus beiden Domains.

Das Problem ist nun, dass manche Nutzer der einen Domain auf die uidNumber der anderen Domain gemappt werden, wenn die uidNumber dort vorhanden ist.
Also Nutzer gibt seinen Nutzernamen und Passwort aus Domain A ein. Im System steht aber der Nutzername von einem völlig anderem Nutzer aus der Domain B. Beide Nutzer haben aber die selbe uidNumber.

Wie kommt das? Warum greift das System auf Domain B zu, wenn ein Konto von Domain A genutzt wird? Hat jemand eine Idee?

Hier die sssd.conf:

Code: Alles auswählen

[sssd]
config_file_version = 2
services = nss, pam
domains = B,A

[nss]

[pam]
###########################
#debug_level = 0x17F0
debug_level = 0x01F0
###########################

# LDAP
[domain/B]
###########################
debug_level = 0x01F0
###########################

id_provider = ldap
access_provider = ldap
ldap_id_use_start_tls = True
ldap_search_base = ou=XXX
ldap_access_filter = objectclass=*
ldap_uri = ldap://B.domain.de
ldap_tls_cacert = /etc/pki/tls/certs/ca-bundle.crt
ldap_default_bind_dn = uid=XXX
ldap_default_authtok = XXX
ldap_default_authtok_type = password

krb5_realm = B.DOMAIN.DE
krb5_server = kdc.domain.de
krb5_ccachedir = /tmp
krb5_ccname_template = FILE:%d/krb5cc_%U_XXXXXX
krb5_auth_timeout = 15
cache_credentials = True

chpass_provider = none

# Active Directory
[domain/A]
debug_level = 0x01F0
enumerate = false
min_id = 1005

id_provider = ldap
access_provider = ldap
auth_provider = krb5
chpass_provider = none

krb5_realm = A.DOMAIN.DE
dns_discovery_domain = A.DOMAIN.DE

ldap_uri = ldap://A.domain.de
ldap_schema = rfc2307bis
ldap_id_use_start_tls = True
ldap_tls_reqcert = allow
ldap_access_order = expire
ldap_account_expire_policy = ad
ldap_force_upper_case_realm = true
ldap_search_base = dc=XXX
ldap_default_bind_dn = cn=XXX
ldap_default_authtok_type = password
ldap_default_authtok = XXX
ldap_user_object_class = person
ldap_user_name = sAMAccountName
ldap_user_fullname = displayName
ldap_user_home_directory = unixHomeDirectory
ldap_user_principal = userPrincipalName
ldap_user_uuid = sAMAccountName
ldap_user_uid_number = uidNumber
ldap_user_gid_number = gidNumber
Nach oben
Antworten

Zurück zu „weitere Dienste“