Rocky Linux 9.6 + SSSD 2.9.6 AD entegrasyonu: sdap_attrs_get_el failed + AD kullanıcıları çekilemiyor

Sistem Yönetimi
1

Merhabalar,

Rocky Linux 9.6 sistemimde SSSD 2.9.6 kullanarak Active Directory (ADTEST.LOCAL) entegrasyonu yapmaya çalışıyorum.

:white_check_mark: Şu anda çalışanlar:

  • Kerberos yapılandırması doğru; kinit ile bilet alabiliyorum ve doğrulama sorunsuz.
  • DNS forward ve reverse çözümlemeleri doğru çalışıyor.
  • ldapsearch GSSAPI ile çalışıyor ve AD’den nesneleri başarıyla çekiyor.
# ldapsearch -Y GSSAPI -H ldap://win-brdjd5qiku7.adtest.local -b "DC=adtest,DC=local" "(sAMAccountName=administrator)"
SASL/GSSAPI authentication started
SASL username: administrator@ADTEST.LOCAL
SASL SSF: 256
SASL data security layer installed.

# Administrator kullanıcısı SID ve primaryGroupID ile geliyor.

Sorun:

  • SSSD servisi başlıyor ama getent passwd administrator ya da getent passwd administrator@adtest.local ile kullanıcılar gelmiyor.
  • SSSD debug logta:
[ad_domain_info_next_done] (0x0040): sdap_attrs_get_el failed.

hatası görünüyor.

journalctl içinde ek bir hata mesajı yok.

Ortam:

  • Rocky Linux 9.6
  • SSSD 2.9.6
  • Domain: adtest.local
  • use_fully_qualified_names hem true hem false ile denendi.
  • access_provider = permit
  • TLS kullanılmıyor; GSSAPI + Kerberos ticket üzerinden çalışılıyor (doğrulandı).

/etc/sssd/sssd.conf içeriği

[sssd]
services = nss, pam
config_file_version = 2
domains = adtest.local

[domain/adtest.local]
id_provider = ad
auth_provider = ad
access_provider = permit
ad_domain = adtest.local
krb5_realm = ADTEST.LOCAL
realmd_tags = manages-system joined-with-adcli
use_fully_qualified_names = False
cache_credentials = True
krb5_store_password_if_offline = True
ldap_id_mapping = True
chpass_provider = ad
fallback_homedir = /home/%u
default_shell = /bin/bash

Destek istediğim konular

Kerberos ve LDAP doğru çalışırken SSSD neden sdap_attrs_get_el failed hatası veriyor ve AD kullanıcılarını çekemiyor?
SSSD 2.9.4 (Ubuntu’da sorunsuz çalışıyor) ve 2.9.6 arasında bu hataya sebep olabilecek değişiklik var mı?
Eksik olabilecek bir attribute veya yapılandırma var mı?

Ek Bilgiler

:white_check_mark: Kerberos bilet durumu:

Default principal: administrator@ADTEST.LOCAL
Valid starting       Expires              Service principal
16-06-2025 15:54:47  17-06-2025 01:54:47  krbtgt/ADTEST.LOCAL@ADTEST.LOCAL

:white_check_mark: LDAP arama örneği:

dn: CN=Administrator,CN=Users,DC=adtest,DC=local
cn: Administrator
primaryGroupID: 513
objectSid:: AQUAAAAAAAUVAAAAE9m6BfRW5eLYReXh9AEAAA==