Le autorizzazioni necessarie per gli oggetti utente AD per SSSD?

Stavo riscontrando problemi importnti con SSSD oggi where gli utenti di nuova generazione non sono stati in grado di accedere. Dopo la risoluzione dei problemi ho rilevato che il problema era nelle autorizzazioni di protezione dell'object utente di AD. Sembra che qualcuno del mio team abbia recentemente cambiato le autorizzazioni per gli utenti autenticati e abbia selezionato la casella di controllo letti.

Quindi le mie domande è quale utente fa un server Linux che è stato unito a un dominio con l'utilizzo di SSSD per l'authentication e il recupero delle informazioni sugli oggetti AD? Poiché gli utenti del ou where le autorizzazioni di lettura sono state revocate per utenti autenticati sono molto critici, vorrei sapere quale utente è utilizzato per autenticarsi da SSSD. Potrebbe essere l'object computer del server Linux che richiede le autorizzazioni?

  • CentOS 7 iptables non persistente dopo il riavvio
  • Nuovi server Active Directory e Exchange
  • Forza l'utente a cambiare la password AD all'accesso prima che Explorer carichi?
  • Rimuovere tutti i file per nome file (Linux one-liner)
  • Aiuta la configuration di un interruttore per eseguire il lavoro di aggregazione dei collegamenti 802.3ad
  • Se trasmetto i dati al mio computer utilizzando il suo nome host pubblico, effettua effettivamente l'accesso a Internet?
  • La cosa strano è che quando abilizzi temporaneamente le autorizzazioni di lettura, id l'utente dopo di che tutto funziona bene. Poi deselect le autorizzazioni di lettura per gli utenti autenticati e sembra che tutto continui a funzionare. (Ovviamente dopo aver svuotato la cache sssd) Qualsiasi intuizione su cui sono richieste le autorizzazioni da parte dell'utente.

    Abbiamo scoperto che è l'object del computer AD che effettivamente autentica. Dare a questo object le autorizzazioni di lettura sull'utente consentono al command ID di recuperare i gruppi. La domanda è che le autorizzazioni sono minimamente necessarie affinché il command id possa get tutti i gruppi?

    2 Solutions collect form web for “Le autorizzazioni necessarie per gli oggetti utente AD per SSSD?”

    A less che non sia stato specificato ldap_default_bind_dn e ldap_default_authtok nel tuo sssd.conf , sarà predefinito un collegamento anonimo al server LDAP specificato per recuperare lo schema e gli oggetti. Qualsiasi altra cosa, come un accesso, utilizzerà le credenziali fornite.

    Dopo molte ricerche abbiamo scoperto che (come ho già detto nella domanda) è l'object del computer server Linux che sta autenticando. La concessione di autorizzazioni di lettura sugli oggetti utente all'object computer consente id di operare e recuperare tutti i gruppi di utenti.

    Ma poiché non abbiamo voluto concedere la lettura a tutti gli utenti, dopo molte prove ed errori abbiamo scoperto che esiste solo un permesso obbligatorio richiesto e che è Read remote access information . Dal momento in cui è selezionata la casella di controllo Read remote access information (vedi schermata) è ansible utilizzare il command ìd per get tutti i gruppi. SSSD è quindi in grado di verificare se l'utente è nei gruppi configurati con la direttiva simple_allow_groups in /etc/sssd/sssd.conf

    immettere qui la descrizione dell'immagine

    Suggerimenti per Linux e Windows Server, quali Ubuntu, Centos, Apache, Nginx, Debian e argomenti di rete.