SSSD und Gruppenauflösung von verschachtelten Gruppen

german

#1

Hallo zusammen
Ich habe mit der folgenden Anleitung ein CentOS an die UCS Umgebung angebunden:
wiki.univention.de/index.php?title=Ubuntu

Alles funktioniert soweit, das Problem sind die verschachtelten Gruppen, welche SSSD/NSS nicht auflösen kann. Dieses Problem sollte man auch bei Ubuntu haben. Wie wurde das Problem bei UCC gelöst?
So wie ich die SSSD Dokumentation verstanden habe, ist die momentan nicht lösbar.

Vielen Dank für jeden Hinweis dazu.

mfg, Roland


#2

Hallo,

das wird, wie mit UCS 3.1 auch auf Servern, über das Script ldap-group-to-file.py und libnss-extrausers abgebildet.

Mit freundlichen Grüßen
Janis Meybohm


#3

Hallo Herr Meybohm

Ich würde diese Lösung auch vorschlagen. Dürfte ich Sie bitten den Wiki Artikel um diesen Eintrag zu erweitern?

Vielen Dank

Freundliche Grüsse
Rolandb


#4

Hallo,

[quote=“rolandb”]Alles funktioniert soweit, das Problem sind die verschachtelten Gruppen, welche SSSD/NSS nicht auflösen kann. Dieses Problem sollte man auch bei Ubuntu haben. Wie wurde das Problem bei UCC gelöst?
So wie ich die SSSD Dokumentation verstanden habe, ist die momentan nicht lösbar.[/quote]ich habe mir das gerade noch einmal angeschaut. Sowohl NSS als auch SSSD unterstützen verschachtelte Gruppen, für SSSD muss hierzu das LDAP-Schema von “rfc2307” auf “rfc2307bis” geändert werden (SSSD deaktiviert nested groups bei “rfc2307”).
Da SSSD mit Schema “rfc2307bis” aber davon ausgehe die Member-DN im LDAP-Attribut “member” zu finden, muss zusätzlich das Member-Attribut auf “uniqueMember” gesetzt werden. Standardmäßig werden so verschachtelte Gruppen in zwei Ebenen unterstützt (die Tiefe kann über die Option “ldap_group_nesting_level” der sssd.conf angepasst werden). Bitte beachten Sie dass ich diese Konfiguration bisher nur rudimentär getestet habe.

Um verschachtelte Gruppen zu aktivieren, können Sie den “[domain/$kerberos_realm]”-Part der sssd.conf um die folgenden Zeilen erweitern:ldap_schema = rfc2307bis ldap_group_member = uniqueMember
Anschließend muss vermutlich auch der Cache invalidiert werden:/etc/init.d/sssd restart sss_cache -d $kerberos_realm
Mit freundlichen Grüßen
Janis Meybohm


#5

Hallo Herr Meybohm

Best Dank für den Hinweis, es funktioniert.
Ich habe mir die LDAP-Options mit man 5 sssd-ldap genau angesehen und mir auch die von Ihnen genannte RFC leider ist dort nur ein ganz kleiner Hinweis auf die uniqueMember Verschachtelung.

Ein kleiner Hinweis muss ich hier machen, ich verwendet CentOS6 und dort musste ich die folgende Anpassung in sssd.conf bei [domain/default] machen und nicht bei [domain/$KERBEROS-DOMAIN]

ldap_schema = rfc2307bis
ldap_group_member = uniqueMember
ldap_group_nesting_level = 2

Mit folgendem Eintrag kann man ganz genau sehen wie die Gruppe in Gruppen Auflösung gemacht wird debug_level = 0x1000.

Super Hilfe, nochmals besten Dank an das Forum

Freundliche Grüsse
Rolandb