Коллеги, здравствуйте!
Имеются две машины под управлением AltLinux 7 SPT и AltLinux 8 SP. Стоит задача ввести их в Active Directory. В качестве демона службы имён LDAP используется nslcd.
Поиск, авторизация в домене и автоматическое создание домашнего каталога проходят успешно с одним "но": они успешны только при выполнении авторизации "из-под" root, то есть:
[root@altMachine ~]# su - domainUserпосле ввода верного пароля выполняется успешно и даёт следующий вывод:
Creating directory '/home/domainUser'.
[domainUser@altMachine ~]$,
тогда как
[regularUser@altMachine ~]# su - domainUserпосле ввода верного пароля проваливается со следующим выводом:
su: Authentication service cannot retrieve authentication infoВ таком же духе не функционирует аутентификация по ssh (выводится
Permission denied, please try again)
/etc/nslcd.conf выглядит примерно так:
Спойлер
uid _nslcd
gid _nslcd
base OU=users,DC=example,DC=com
base group CN=groups,DC=example,DC=com
base shadow OU=shadow,DC=example,DC=com
binddn CN=admin,DC=example,DC=com
bindpw password
ldap_version 3
referrals off
uri ldap://example.com
filter passwd (&(&(objectClass=user)(!(objectClass=computer)))
map passwd uid sAMAccountName
map passwd uidNumber objectSid:...
map passwd gidNumber primaryGroupID
map passwd homeDirectory "/home/$sAMAccountName"
map passwd gecos displayName
map passwd loginShell "/bin/bash"
filter shadow (&(objectClass=user)(!(objectClass=computer)))
map shadow uid sAMAccountName
map shadow shadowLastChange pwdLastSet
filter group (objectClass=group)
map group gidNumber objectSid:...
map group cn sAMAccountName
Разрешения /etc/nslcd.conf:
-rw------- 1 _nslcd _nslcd ... nslcd.confСниппет /etc/nsswitch.conf:
Спойлер
passwd: files ldap
shadow: tcb files ldap
group: files ldap
gshadow: files
hosts: files dns
Понимаю, что проблема, скорее всего, кроется в неправильной настройке разрешений/владельцев тех или иных файлов конфигурации, однако идей относительно того, что конкретно является причиной, у меня не осталось. Была предпринята попытка передать владение файлом nslcd.conf пользователю root (исходя из того, что sshd работает от имени root), однако она не возымела эффекта. Отмечу также, что при задании nslcd.conf разрешений 644 nslcd отказывается стартовать (т.к. nslcd.conf содержит bindpw), а задание разрешений 640 не имеет нужного эффекта.
Собственно, вопрос заключается в следующем: сталкивались ли Вы с подобным, и, если сталкивались, каково было решение проблемы? Если не сталкивались - есть ли у Вас какие-либо мысли по этому поводу? Буду благодарен за любые идеи, поскольку они, возможно, подтолкнут мой мыслительный процесс, что в итоге приведёт к решению проблемы.
С уважением, Михаил
