Alles funktioniert soweit, das Problem sind die verschachtelten Gruppen, welche SSSD/NSS nicht auflösen kann. Dieses Problem sollte man auch bei Ubuntu haben. Wie wurde das Problem bei UCC gelöst?
So wie ich die SSSD Dokumentation verstanden habe, ist die momentan nicht lösbar.
[quote=“rolandb”]Alles funktioniert soweit, das Problem sind die verschachtelten Gruppen, welche SSSD/NSS nicht auflösen kann. Dieses Problem sollte man auch bei Ubuntu haben. Wie wurde das Problem bei UCC gelöst?
So wie ich die SSSD Dokumentation verstanden habe, ist die momentan nicht lösbar.[/quote]ich habe mir das gerade noch einmal angeschaut. Sowohl NSS als auch SSSD unterstützen verschachtelte Gruppen, für SSSD muss hierzu das LDAP-Schema von “rfc2307” auf “rfc2307bis” geändert werden (SSSD deaktiviert nested groups bei “rfc2307”).
Da SSSD mit Schema “rfc2307bis” aber davon ausgehe die Member-DN im LDAP-Attribut “member” zu finden, muss zusätzlich das Member-Attribut auf “uniqueMember” gesetzt werden. Standardmäßig werden so verschachtelte Gruppen in zwei Ebenen unterstützt (die Tiefe kann über die Option “ldap_group_nesting_level” der sssd.conf angepasst werden). Bitte beachten Sie dass ich diese Konfiguration bisher nur rudimentär getestet habe.
Um verschachtelte Gruppen zu aktivieren, können Sie den “[domain/$kerberos_realm]”-Part der sssd.conf um die folgenden Zeilen erweitern:ldap_schema = rfc2307bis
ldap_group_member = uniqueMember
Anschließend muss vermutlich auch der Cache invalidiert werden:/etc/init.d/sssd restart
sss_cache -d $kerberos_realm
Mit freundlichen Grüßen
Janis Meybohm
Best Dank für den Hinweis, es funktioniert.
Ich habe mir die LDAP-Options mit man 5 sssd-ldap genau angesehen und mir auch die von Ihnen genannte RFC leider ist dort nur ein ganz kleiner Hinweis auf die uniqueMember Verschachtelung.
Ein kleiner Hinweis muss ich hier machen, ich verwendet CentOS6 und dort musste ich die folgende Anpassung in sssd.conf bei [domain/default] machen und nicht bei [domain/$KERBEROS-DOMAIN]
Vermutlich, weil niemand daran gedacht hat, weil die Verwendung verschachtelter Gruppen in Linux/OpenLDAP längst nicht so weit verbreitet ist wie unter Windows. Die wenigsten Anwendungen mit allgemeiner LDAP-Unterstützung, die ich kenne, haben wirklich Support für verschachtelte Gruppen nach OpenLDAP-Schema — meist nur nach AD-Schema.
Aber diese Änderung ist ja trivial. Gibt auch momentan keinen Bug dafür — vielleicht mal einen einstellen?
Naja verschachtelte Gruppen sind ja AFAIK schon lange Bestandteil von UCS. Entsprechender Support auf dem Client wäre eigentlich naheliegend.
Aber da du schon vom AD sprichst: Eigentlich wäre es sinnvoller Ubuntu über den SSSD-AD-Provider anzubinden, da dieser zum Beispiel (aktuell allerdings nur rudimentär) Gruppenrichtlinien unterstützt. Die Unix-Attribute sind sowieso auch über den AD-LDAP abrufbar.
Ich habe noch mal nachgeschaut: Bei neueren Gruppen sind die Attribute tatsächlich nicht im AD vorhanden. Aber es sollte ja kein Problem diese Attribute zu syncen.