章 17. 認證與互通性

在共享 root 目錄時,請勿將 SELinux 切換為強制模式

在使用 SELinux 為強制(enforcing)模式時,Samba 需要共享目錄被標示為 samba_share_t。然而,在 /etc/samba/smb.conf 檔案中使用 path = / 配置,將 root 目錄標示為 samba_share_t 會導致嚴重的系統異常。
Red Hat 非常不建議使用者用 samba_share_t 標籤來標示 root 目錄。因此,在使用 Samba 來共享 root 目錄時,請勿使用 SELinux 的強制模式。

SSSD 並不支援 LDAP externalUser 屬性

SSSD(系統安全服務 Daemon,System Security Services Daemon)並沒有對 IdM(Identity Management)schema 的 externalUser LDAP 屬性提供支援。因此,指定 sudo 規則至本地帳號,例如使用 /etc/passwd 檔案時,會失敗。這問題只會影響 IdM 網域與 Active Directory(AD)受信任網域之外的帳號。
要解決這問題,設定 LDAP 的 sudo 搜尋如下,根據 /etc/sssd/sssd.conf 檔案的 [domain] 一節:
ldap_sudo_search_base = ou=sudoers,dc=example,dc=com
這會啟用 SSSD 來解析 externalUser 中的使用者。