Пользователи-призраки

«getent passwd» что показывает? В /etc/nsswitch.conf что прописано?

id user говорит, что пользователь есть. Можно залогинится.

а реально логиниться пробывали — получается?

Наверняка используете что-то типа sssd с кэшированием данных, но при реальной аутентификации он полезет к керберосу и получит отлуп (ибо кдс выключен). В общем, никакой мистики тут нет — man sss_cache (если я угадал с sssd).

Пробовал, логинится. Вы правы, используется sssd, но кэш я не включал. И даже чистил принудительно.

Пользователи и правда в кэше были: затёр все файлы в /var/lib/sss/db, в конфиге /etc/sssd/sssd.conf указал cache_credentials = False

Призраков нет. Другая проблема - пользователи из LDAP не подтягиваются.

Другая проблема - пользователи из LDAP не подтягиваются.

Смотрите логи сервера, логи клиента, находите кто виноват, принуждаете его работать.

Очень тяжело как-то помочь, если вы ничего не говорите. Неплохо бы увидеть логи сервера LDAP, логи клиента, конфиг sssd...

Причину я нашёл, кроется она в SSL:

/var/log/messages: sssd[be[default]]: Could not start TLS encryption. TLS error -8172:Peer's certificate issuer has been marked as not trusted by the user

Отключаю SSL - работает.

Сертификат создан.

openssl s_client -connect localhost:636 отрабатывает, разве что смущает строка

No client certificate CA names sent

Тут человек советует " Run /etc/pki/tls/misc/c_hash /etc/openldap/certs/ca.crt and it will tell you an 8 digit hex number and you have to create a symlink called that 8 digit number.0 pointing to the ca.crt file". Код получаю, но не пойму, где должна быть symlink. Если это вообще то.

Заработало...

Думаю, что после выполнения

/etc/pki/tls/misc/c_hash /etc/openldap/certs/ca-bundle.crt