LDAPによるSSHパスワード認証を実現したい

EC2で建てたCentOS7のサーバーへのログイン認証をLDAPで行いたいです。
ただし、LDAPサーバーは自分で構築したものではなく、使用しているディレクトリサービスに付随しているものになります。

こちらの記事に従って、sssdモジュールを使って上記を実現しようとしましたが、検証ユーザーでログインできません。
また、今回はパスワード認証をしたいので、sshd_configで以下のように設定しています。

sshd_config
1PasswordAuthentication yes

LDAPサーバー側には、問い合わせ自体きていないので、LDAPクライアントでのssh認証設定が正しくできていないと思うのですが、、。

ちなみに、ldapsearchコマンドでの問い合わせは成立するので、通信ができないという問題ではないと思います。

また、LDAPクライアントのsshdログを以下にのせておきます。

よろしくお願いします。

行動規範の内容に同意します

回答1件

OS ユーザーとして認識されていないようです。
まずは、getent passwd shimotori で情報が得られるところを目指しましょう。

getent passwd shimotori 実行時に LDAP 側のログでどのようなクエリと結果になっているのか、確認するといいと思います。
OS ユーザーとして利用するには、objectclass=posixAccount が含まれていて、属性 uidNumber, gidNumber, gecos, homeDirectory, loginShell が必要です。

LDAP 側にクエリログが出力されないのであれば、sssd から LDAP に接続できていないのかもしれません。
sssd のログ(/var/log/sssd/sssd_default.log など)を調べれば何かわかるかもしれません。
/etc/sssd/sssd.conf の [domain/default] 箇所で debug_level を設定する必要があるかも。

投稿2021/07/08 15:30