5.4.2. 配置 LDAP 搜索基础以限制搜索
这个步骤描述了通过编辑
/etc/sssd/sssd.conf 文件将 SSSD 中的搜索限制为特定的子树。
注意事项
- 如果您的 SSSD 客户端直接加入 Active Directory 域,请对所有客户端执行此步骤。
- 如果您的 SSSD 客户端位于与 Active Directory 信任的身份管理域中,则仅在身份管理服务器上执行此步骤。
流程
- 确保受信任的域在
sssd.conf中有一个单独的[domain]部分。可信域部分的标题遵循此模板:[domain/main_domain/trusted_domain]
例如:[domain/idm.example.com/ad.example.com]
- 编辑
sssd.conf文件,将搜索基础限制为特定的组织单元(OU)。例如:ldap_search_base选项会更改所有对象的搜索基础。[domain/idm.example.com/ad.example.com]
ldap_search_base = ou=finance,dc=ad,dc=example,dc=com您还可以使用ldap_user_search_base、ldap_group_search_base、ldap_netgroup_search_base和ldap_service_search_base选项。有关这些选项的详情请参考 sssd-ldap(5) man page。 - 重启 SSSD。
# systemctl restart sssd.service - 要验证,请在 SSSD 客户端上解析几个 Active Directory 用户。例如,测试用户搜索库和组群搜索库的更改:
# getent passwd ad_user@ad.example.com # getent group ad_group@ad.example.com
如果正确配置了 SSSD,您可以只从配置的搜索库解析对象。
如果您能够从其他搜索域解析用户,请通过检查 SSSD 日志对问题进行故障排除:
- SSSD 缓存过期。
# sss_cache --everything - 在
sssd.conf的常规[domain]部分,将debug_level选项设置为9。 - 重复 命令以解析用户。
- 在
/var/log/sssd/ 的SSSD日志中,查找来自sdap_get_generic_* 功能的消息。功能记录用户搜索中使用的过滤器和搜索基础。
其它资源
- 有关您可以在
sssd.conf的可信域部分使用的选项列表,请查看 sssd.conf(5) man page 中的 TRUSTEDSECTION。
