Q&A
まずは、質問する前に、前回も同様ですが質問のステータスを
解決済にしてください。
野放しユーザに対しては、回答が来ないと思います。
https://teratail.com/questions/248889?nli=5e78a9eb-b11c-4324-836f-4ff00a280319
で「sssdでユーザ一覧を取得できない」と質問しました。その件は解決したのですが、スクリプトで
「指定した範囲のuid、gidを使って選別処理をしたい」と考えています。そのために有効と思われる
uid、gidを下記のsssd.confの通り範囲指定してみたのですが、効果がありません。
idで確認すると該当ユーザには
[root@vm01 ~]# id tst_usr02
uid=1234001112(tst_usr02) gid=1234001104(tst_grp) groups=1234001104(tst_grp),1234000513(domain users)
と言ったuid、gidが振られてしまいます。
min_id、max_idが何故有効にならないか、ご存知の方がいらしたらお教え願います。
cat /etc/sssd/sssd.conf
[sssd]
domains = test.local
config_file_version = 2
services = nss, pam
[domain/test.local]
ad_domain = test.local
krb5_realm = TEST.LOCAL
realmd_tags = manages-system joined-with-adcli
cache_credentials = True
id_provider = ad
krb5_store_password_if_offline = True
default_shell = /bin/bash
#ldap_id_mapping = True
#use_fully_qualified_names = True
#fallback_homedir = /home/%u@%d
fallback_homedir = /home/%u
access_provider = ad
min_id = 20000 # 2020.03.24 追加
max_id = 29999 # 2020.03.24 追加
enumerate = true # 2020.03.24 追加
回答1件
0
ベストアンサー
キャッシュが残っているのではないでしょうか。
キャッシュを削除してみてください。
# systemctl stop sssd # rm -f /var/lib/sss/db/cache_default.ldb # systemctl start sssd # id_ tst_usr02
(2020/03/30 12:30) 追記
ActiveDirectory に uidNumber, gidNumber の属性がなく、CentOS 側で自動割り当てになっているのであれば、割り当て範囲は sssd.conf ではなく smb.conf (idmap config)で設定するのではないでしょうか。
投稿2020/03/29 05:22
編集2020/03/30 03:30
総合スコア12173
ご回答ありがとうございます。
/var/lib/sss/db/cache_default.ldb と言う名前のファイルはなく、
/var/lib/sss/db/cache_test.local.ldb があったのでそれを削除しました。
ご指示の様に、削除の前後でsssdサービス停止/開始を行いましたが、実施後は
id等のコマンドで、ADユーザを認識できなくなってしまいました。
min_id、max_id の指定を無くすと、ID自体は自動割当の大きな値ですが、idコマンドなどでadユーザを拾えるように戻ります。
min_id, max_id の正しい動作だと思います。
min_id, max_id で制限するのであって、その範囲の UID を割り当てるものではありません。
つまり、「min_id, max_idを設定すると、その範囲内のUIDを持ったユーザしか認証できなくなる」と言うことですか。
そうなると思います。
ありがとうございました
あなたの回答
tips
プレビュー
