กลุ่ม AD ที่ซ้อนกันไม่ได้รับความเคารพกับ SSSD

ฉันมีเซิร์ฟเวอร์ที่เข้าร่วมโดเมน กำหนดค่าด้วย sssd ใน sssd.conf ฉันใช้

ad_access_filter = (memberof=CN=CustomGroup,OU=Security Group,DC=company,DC=com)

สิ่งนี้ใช้ได้ผลดีสำหรับผู้ใช้ใน กลุ่มที่กำหนดเอง แต่ไม่ใช่สำหรับผู้ใช้ใน Nested_CustomGroup กลุ่มที่เป็นสมาชิกของ กลุ่มที่กำหนดเอง

sssd.conf ของฉันมีลักษณะดังนี้:

[sssd]
โดเมน = company.com
config_file_version = 2
บริการ = nss, แพม

[โดเมน/company.com]
ad_domain = company.com
krb5_realm = COMPANY.COM

cache_credentials = จริง
id_provider = โฆษณา
krb5_store_password_if_offline = จริง
default_shell = /bin/ทุบตี
ldap_id_mapping = จริง
forget_group_members = เท็จ
ldap_group_nesting_level = 2
use_fully_qualified_names = เท็จ
fallback_homedir = /home/%u
case_sensitive = เท็จ
access_provider = โฆษณา
auth_provider = โฆษณา
แจงนับ = เท็จ
ad_gpo_access_control = ปิดใช้งาน
ad_access_filter = (memberof=CN=CustomGroup,OU=Security Group,DC=company,DC=com)

บันทึกบันทึกประจำวัน sshd ระหว่างผู้ใช้จากการเข้าสู่ระบบกลุ่มที่ซ้อนกัน:

เซิร์ฟเวอร์ sshd[30781]: pam_unix(sshd:auth): การตรวจสอบสิทธิ์ล้มเหลว; ชื่อล็อก = uid = 0 euid = 0 tty = ssh ruser = rhost = x.x.x.x ผู้ใช้ = ผู้ใช้บางคน
เซิร์ฟเวอร์ sshd[30781]: pam_sss(sshd:auth): การตรวจสอบสิทธิ์สำเร็จ; ชื่อล็อก = uid = 0 euid = 0 tty = ssh ruser = rhost = x.x.x.x ผู้ใช้ = ผู้ใช้บางคน
เซิร์ฟเวอร์ sshd[30781]: pam_sss(sshd:account): การเข้าถึงถูกปฏิเสธสำหรับผู้ใช้ someuser: 6 (ปฏิเสธการอนุญาต)
เซิร์ฟเวอร์ sshd[30781]: รหัสผ่านล้มเหลวสำหรับผู้ใช้บางคนจากพอร์ต x.x.x.x 26241 ssh2
เซิร์ฟเวอร์ sshd[30781]: ร้ายแรง: การเข้าถึงถูกปฏิเสธสำหรับผู้ใช้ someuser โดยการกำหนดค่าบัญชี PAM [preauth]

ความคิดใด ๆ ? ขอขอบคุณ,

ในการสืบค้นการเป็นสมาชิกกลุ่มแบบเรียกซ้ำหรือซ้อนกันของบัญชีกับ Active Directory ในไวยากรณ์ LDAP คุณต้องใช้ OID 1.2.840.113556.1.4.1941 ซึ่งเป็น OID สำหรับ LDAP_MATCHING_RULE_IN_CHAIN หรือ LDAP_MATCHING_RULE_TRANSITIVE_EVAL

ในกรณีของคุณ คุณจะต้องปรับตัวกรองการเข้าถึงเป็น

(สมาชิกของ:1.2.840.113556.1.4.1941:=CN=CustomGroup,OU=Security Group,DC=company,DC=com)