【发布时间】:2011-05-17 14:33:33
【问题描述】:
我有一个 Debian Squeeze 系统,它使用 libnss-ldap 绑定到 2008 Active Directory 域控制器以查找用户和组。一切正常,除非出于某种原因,域管理员、企业管理员或架构管理员组中的任何人都没有获得正确的组成员身份。他们只获得 *Admin 组,而没有其他组(除非有应用的本地组,它们确实显示)。
更奇怪的是,“getent 组”显示用户的所有正确组成员身份,但“id”或“groups”(以用户身份运行时)不显示。我们使用域组进行 sudo 访问,但该用户无法使用 sudo,因为它无法查看组成员身份。删除 *Admin 成员资格后,查找就会正常工作。
我怀疑这可能是 AD 安全功能,但我们有使用 nss-ldap 的 FreeBSD 系统,这些用户的组成员身份在这些系统上正确解析。日志中没有任何内容表明为什么这些查找不返回正常结果,而且我无法通过 Google 找到任何信息来帮助阐明这种情况。是否有其他人在 Debian 中使用 libnss-ldap 连接到可以尝试确认此行为的 AD?
编辑:我已使用 ldapsearch 确认 AD 正在返回正确的结果。我还停止了 nscd 以确保它没有干扰。域管理员中的任何用户只能看到他的主要组、本地组和域管理员。
顺便说一句,我认为这是问题所在:
【问题讨论】:
-
support.microsoft.com/kb/976063 与您的问题无关 这是关于 UAC 功能的。由于您是从 Debian 运行的,因此 UAC 完全不适用。我之前没有使用 libnss-ldap,但是有一些商业产品,我相信它们做得更好。尝试从 www.centrify.com 下载免费版本的 DirecControl,看看它是否有效。
标签: active-directory ldap debian