getent passwd не працює; Аутентифікація CentOS 7 та SSSD LDAP

Я встановив CentOS 7 на абсолютно новий сервер. Всі мої сервери отримують автентифікацію кінцевого користувача через LDAPS в різних системах, таких як RHEL5, Debian і Solaris. Я помітив, що на CentOS 7 є новий шар, який є SSS вище NSS та PAM. У будь-якому разі, я намагаюся тиражувати той же тип з'єднання, що й інший сервер.

Команда ldapsearch -xє обов'язковою для LDAP, але не для LDAPS.

Під час розкопок проблеми я спробував зробити з'єднання в LDAP, видавлюючи шар SSS, поклавши ці лінії в мою /etc/nsswitch.conf

passwd:     files ldap #sss 
shadow:     files ldap #sss 
group:      files ldap #sss 

І я додав цей рядок у /etc/sssd/sssd.conf

cache_credentials = False

І я перезапустив ssd.

systemctl restart sssd

Я перевіряю команду authconfig --testі все здається нормально: ( http://www.heypasteit.com/clip/1LZ2 )

Я не впевнений, чи це правильне рішення, але помітили в FAQ SSSD цей пункт:

Коли слід включити перерахування в SSSD? або Чому перерахування за умовчанням вимкнено?

"Перерахування" - це термін SSSD для "читання та відображення всіх значень певної карти (користувачів, груп тощо)". Ми відключаємо це за замовчуванням у SSSD, щоб мінімізувати навантаження на сервери, з якими SSSD повинен спілкуватися. У більшості операцій перелік повного набору користувачів або груп ніколи не буде необхідним. Зазвичай програми вимагають інформації про конкретних користувачів або групи.

Перерахування всіх записів негативно впливає на навантаження на сервер та продуктивність на клієнта (оскільки ми повинні зберегти всі складні відносини між користувачами та групами, до яких вони належать у локальному кеші). Тож через це ми постачаємо з відключеними перерахуваннями (така ж поведінка, як і вибух проекту Samba).

Ви повинні вмикати перерахування (і пов'язані з цим проблеми з продуктивністю) лише в тому випадку, якщо у вашому середовищі є програми або сценарії, які абсолютно повинні мати змогу отримати повний список. У цих випадках перерахування можна ввімкнути шляхом встановлення

   [domain/<domainname>]
   enumerate = true
   ...

у вашому файлі sssd.conf.

Це дало можливість getent passwdвідображати всі облікові записи, які були доступні через SSSD. Попереджуйте, що це може призвести до зниження продуктивності.