Как правильно подключить FreeIpaClient API 2.164 к FreeIpaServer API 2.156

Я пытаюсь разработать Ansible, который устанавливает клиенты freeipa независимо от операционной системы. Я исправил много проблем, но я не могу исправить следующее:

ipaclient1 version --> 3.3.4 (Ubuntu 14)
ipaclient2 version --> 4.3.1 (Ubuntu 16)
ipaclient3 version --> 3.0.0 (CentOS 6)
ipaSERVER version  --> 4.2.0 (CentOS 7)

Когда клиент ipa подключается с помощью команды «ipa-client-install», у меня нет проблем, все клиенты могут войти в систему со всеми текущими пользователями на сервере ipa. Проблема в том, что я создаю новых пользователей после того, как клиенты находятся в домене. Клиент 1 и 3 могут правильно войти в систему с новыми пользователями, но клиент 2 не может найти новых пользователей (также после перезагрузки).

root@dev-ipaclient2:~# su prueba3
No passwd entry for user 'prueba3'

Getent passwd показывает локальных пользователей. Если я использую «ipa user-find prueba3», я получаю следующее:

ipa: ERROR: 2.164 client incompatible with 2.156 server at 'https://dev-ipaserver.mydomain.net/ipa/xml'

Эта ошибка существует для всех пользователей, например, я могу войти в систему с пользователем «user1» (поскольку этот пользователь существовал до того, как клиент 2 присоединился к домену), но эта команда не может его найти.

/var/log/auth.log:

Jun  1 09:03:38 dev-ipaclient2 su[4378]: No passwd entry for user 'prueba3'
Jun  1 09:03:38 dev-ipaclient2 su[4378]: FAILED su for prueba3 by root
Jun  1 09:03:38 dev-ipaclient2 su[4378]: - /dev/pts/0 root:prueba3

Да, я пробовал:

/sbin/initctl stop sssd
rm /var/lib/sss/db/*
/sbin/initctl start sssd

Однако, если я использую "ipa -e skip_version_check=1 user-find prueba3":

--------------
1 user matched
--------------
User login: prueba3
First name: prueba
Last name: 3
Home directory: /home/prueba3
Login shell: /bin/sh
Email address: [email protected]
UID: 50007
GID: 50007
Account disabled: False
Password: True
Kerberos keys available: True
----------------------------
Number of entries returned 1
----------------------------

Я знаю, что проблема связана с версиями API. Клиент Ubuntu 16 ‹ ---> Сервер CentOS 7, но я не могу найти ответ для решения этой проблемы.

Этот доступ будет использоваться с таким количеством машин, поэтому мне нужно, чтобы он работал правильно (клиент 2 правильно обновляет всех новых пользователей).

Спасибо за помощь!


linux active-directory ldap redhat freeipa
person Lord Arkadellas    schedule 01.06.2016    source источник

Ответы (2)


arrow_upward
0
arrow_downward

Судя по сообщению, которое выдает su, похоже, что pam_sss не используется в определении PAM в /etc/pam.d/su. Вы можете это проверить?

Это никак не связано с разницей версий IPA.

person abbra    schedule 03.06.2016

arrow_upward
0
arrow_downward

Прошу прощения, что не ответил раньше, проблема была в установке. Я пробовал две или три установки, и все установки имели одну и ту же ошибку. Затем я попытался очистить все пакеты после удаления клиента ipa, установить все пакеты после очистки машины, а затем установить клиент ipa. В этом случае эта установка была правильной.

Спасибо за ваш ответ, аббра.

person Lord Arkadellas    schedule 08.06.2016