Ich habe den Filterstring nach deinem Vorschlag angepasst, leider ohne Erfolg.
Ich versuche mal mein Problem noch genauer zu beschreiben.
Ich kann mich momentan nicht nur als Nutzer einer bestimmten Gruppe im AD, sondern als beliebiger Nutzer anmelden.
Dabei bekomme ich nach Eingabe des Passwortes die Meldung:
su: Permission denied
(ignored)
Anschließend ist der Nutzer erfolgreich angemeldet.
Meine sssd.conf sieht momentan aus wie folgt:
[sssd]
services = nss, pam
config_file_version = 2
domains = DOMAIN.COM
[domain/DOMAIN.COM]
id_provider = ad
access_provider = ad
ad_access_filter = (&(memberOf=cn=Admin,ou=Groups,dc=domain,dc=com))
ldap_access_order=filter,expire
krb5_server = dc.domain.com
ad_domain = DOMAIN.COM
krb5_realm = DOMAIN.COM
cache_credentials = False
auth_Provider = ad
# Use this if users are being logged in at /.
# This example specifies /home/DOMAIN-FQDN/user as $HOME. Use with pam_mkhomedir.so
override_homedir = /home/%d/%u
# Uncomment if the client machine hostname doesn't match the computer object on the DC.
# ad_hostname = mymachine.myubuntu.example.com
# Uncomment if DNS SRV resolution is not working
# ad_server = dc.mydomain.example.com
# Uncomment if the AD domain is named differently than the Samba domain
# ad_domain = MYUBUNTU.EXAMPLE.COM
# Enumeration is discouraged for performance reasons.
# enumerate = true
Ich vermute inzwischen, dass es an der pam-Konfiguration liegt, bin mir aber nicht bewusst, wie die Konfiguration passend zu dem Guide aussehen muss.