CentOS 7 上使用 SSSD 加入 LDAP 的步骤

以下是在 CentOS 7 上使用 SSSD 加入 LDAP 的步骤：

1. 安装 SSSD

yum install sssd

2. 配置 SSSD

编辑 /etc/sssd/sssd.conf 文件，添加如下内容：

[sssd]
config_file_version = 2
services = nss, pam

domains = LDAP

[nss]
filter_users = root

[pam]

[domain/LDAP]
id_provider = ldap
auth_provider = ldap
ldap_uri = ldap://ldap.example.com
ldap_search_base = dc=example,dc=com
ldap_user_search_base = ou=people,dc=example,dc=com
ldap_group_search_base = ou=groups,dc=example,dc=com
ldap_tls_reqcert = demand
ldap_tls_cacert = /etc/openldap/certs/ca.crt
cache_credentials = true
enumerate = true

其中，ldap_uri 为 LDAP 服务器的地址，ldap_search_base 为 LDAP 根目录，ldap_user_search_base 和 ldap_group_search_base 分别为用户和组的搜索路径，ldap_tls_cacert 为 CA 证书的路径。

3. 配置 PAM

编辑 /etc/pam.d/system-auth 文件，添加如下内容：

auth        required      pam_env.so
auth        sufficient    pam_unix.so nullok try_first_pass
auth        requisite     pam_succeed_if.so uid >= 500 quiet
auth        sufficient    pam_sss.so use_first_pass
auth        required      pam_deny.so

account     required      pam_unix.so
account     sufficient    pam_localuser.so
account     sufficient    pam_succeed_if.so uid < 500 quiet
account     [default=bad success=ok user_unknown=ignore] pam_sss.so
account     required      pam_permit.so

password    requisite     pam_pwquality.so try_first_pass local_users_only retry=3 authtok_type=
password    sufficient    pam_unix.so sha512 shadow nullok try_first_pass use_authtok
password    sufficient    pam_sss.so use_authtok
password    required      pam_deny.so

session     optional      pam_keyinit.so revoke
session     required      pam_limits.so
session     [success=1 default=ignore] pam_succeed_if.so service in crond quiet use_uid
session     required      pam_unix.so
session     optional      pam_sss.so

其中，pam_sss.so 用于将认证请求发送到 SSSD。

4. 启动 SSSD

systemctl start sssd

5. 测试认证

使用 LDAP 中的用户进行认证：

su - ldapuser

如果能够成功认证，则说明 SSSD 已经成功加入 LDAP。