Comment se fait-il que tous les utilisateurs de LDAP sont affichés avec getent passwd?

Ceci est un comportement par défaut, Rhel restreint les utilisateurs à l'aide de PAM, NSS essaie de résoudre toutes les entrées d'utilisateur/groupe disponibles dans la base de recherche LDAP donnée.

Il peut y avoir des situations dans lesquelles le système dispose d'une monture NFS qui inclut des fichiers appartenant à des utilisateurs qui n'ont pas accès à la machine, vous pouvez toujours résoudre les utilisateurs si tous sont visibles au système d'exploitation (l'accès est restreint par PAM, afin qu'ils ne soient pas être capable de se connecter).

Vous pouvez utiliser l'une des options suivantes pour modifier le comportement.

1. Utilisez SSSD, il ne énumérera pas les utilisateurs/groupes par défaut. (c.-à-d. getent passwd n'écoutera que les utilisateurs locaux).

2. Utilisez un filtre LDAP afin que seuls les utilisateurs requis sont visibles à la machine. Ceci n'est possible que s'il existe un filtre particulier qui peut être utilisé pour filtrer l'utilisateur (par exemple: à l'aide d'un membre de l'attribut d'un groupe).

3. Utilisez le mode COMPAT pour filtrer les utilisateurs.

pour par exemple:

nsswitch.conf 
passwd: files compat
passwd_compat: ldap

in passwd file, add +@netgroup.