SSSD+LDAP on Scientific Linux でハマった

ServersMan@VPS で Scientific Linux を動かす記事を見つけたので、CentOS 5 から SL 6.1 に移行した。サポート対象外になるけど、別に気にしない。

OpenLDAP の設定ファイルが全部 LDIF になってたのにはちょっと驚いたけど、smbldap-tools で初期エントリーとユーザーの追加までは順調に完了。実行中にスキーマを追加したりできるようになったらしい。

で、authconfig-tui で認証に LDAP を使うように設定したところ、どうもうまくいかない。

「getent group / passwd」で LDAP 上のグループ/ユーザーがでてこないのは、sssd.conf に 「enumerate = True」を指定してなかったからっていうのはすぐに分かった。

それでも、LDAP に登録されているユーザーから sudo しようとするとパスワードが通らない。

試行錯誤の結果、authconfig-tui で LDAPTLS を使わないように設定しても、SSSD が認証要求を処理する際は TLS を使うというのが原因だった。セキュリティを考慮しての動作なのかもしれないけど、今回はローカルの LDAP サーバーに接続するだけだからと思ってちゃんと設定してなかったからハマったというわけ。

TLS を使わないように設定できるのかもしれないけれど、すぐにはやり方がわからなかったので、TLS まわりをちゃんと設定しなおした。今度は sudo もちゃんと出来る。

めでたしめでたし。。。

ちなみに・・・

pam_ldap も普通に使えるので、LDAP だけでいいならこっちのほうがいいのかも

追記 - 2011-12-15T11:42:16+09:00

sssd-ldap(5) のマニュアル読んだら、ちゃんと書いてあった。

If you want to authenticate against an LDAP server either TLS/SSL or LDAPS is required.  sssd does not support authentication over an unencrypted channel.