getent passwd가 작동하지 않습니다. CentOS 7 및 SSSD LDAP 인증

새로운 서버에 CentOS 7을 설치했습니다. 모든 서버는 RHEL5, Debian 및 Solaris와 같은 다양한 시스템에서 LDAPS를 통해 최종 사용자 인증을받습니다. CentOS 7에 NSS 및 PAM보다 높은 SSS 인 새 계층이 있음을 알았습니다. 어쨌든 다른 서버와 동일한 유형의 연결을 복제하려고합니다.

명령 ldapsearch -x이 LDAP에서 바인딩되지만 LDAPS에서는 바인딩되지 않습니다.

문제를 파헤치는 동안 SSS 계층을 쥐어 짜는 LDAP에서 연결을 시도했습니다. /etc/nsswitch.conf

passwd:     files ldap #sss 
shadow:     files ldap #sss 
group:      files ldap #sss 

그리고 나는이 줄을 /etc/sssd/sssd.conf

cache_credentials = False

그리고 ssd를 다시 시작했습니다.

systemctl restart sssd

나는 명령으로 확인 authconfig --test하고 모든 것이 좋아 보인다 : ( http://www.heypasteit.com/clip/1LZ2 )

이것이 올바른 솔루션인지 확실하지 않지만 SSSD FAQ에서 다음 사항을 알 수 있습니다.

SSSD에서 열거를 언제 활성화해야합니까? 또는 왜 열거가 기본적으로 비활성화되어 있습니까?

"계산"은 "특정지도 (사용자, 그룹 등)의 모든 값을 읽고 표시하는"에 대한 SSSD의 용어입니다. SSSD가 통신해야하는 서버의로드를 최소화하기 위해 SSSD에서 기본적으로이 기능을 비활성화합니다. 대부분의 작업에서 완전한 사용자 또는 그룹 집합을 나열 할 필요는 없습니다. 응용 프로그램은 일반적으로 특정 사용자 또는 그룹에 대한 정보를 요청합니다.

사용자와 로컬 캐시에 속한 그룹 간의 모든 복잡한 관계를 저장해야하므로 모든 항목을 열거하면 서버로드 및 클라이언트 성능에 부정적인 영향을 미칩니다. 따라서 이로 인해 열거가 비활성화되어 제공됩니다 (Samba 프로젝트의 winbind와 동일한 동작).

전체 목록을 검색 할 수 있어야하는 환경에 응용 프로그램이나 스크립트가있는 경우 열거 및 결과 성능 문제 만 활성화해야합니다. 이 경우 설정을 통해 열거를 활성화 할 수 있습니다.

   [domain/<domainname>]
   enumerate = true
   ...

sssd.conf 파일에

이를 getent passwd통해 SSSD를 통해 사용 가능한 모든 계정을 표시 할 수 있었습니다. 이것이 성능 저하 일 수 있다는 점에주의하십시오.