サーバーから su コマンドを使用して、前述のドメイン ユーザーに切り替えることはできますが、ssh ログインは失敗します。ユーザー ドメイン グループは、sssd.conf ファイルの "simple_allow_groups" の下にすでに追加されています。
/var/log/secure のエラーは次のように表示されます。
Jan 18 04:10:18 m1-vlp0006 sshd[6420]: pam_sss(sshd:auth): authentication success; logname= uid=0 euid=0 tty=ssh ruser= rhost=138.35.x.x user=postl\u522660
Jan 18 04:10:18 m1-vlp0006 sshd[6420]: pam_sss(sshd:account): Access denied for user postl\u522660: 6 (Permission denied)
Jan 18 04:10:18 m1-vlp0006 sshd[6420]: Failed password for postl\\u522660 from 138.35.x.x port 57903 ssh2
Jan 18 04:10:18 m1-vlp0006 sshd[6420]: fatal: Access denied for user postl\\\\u522660 by PAM account configuration [preauth]
わかりました。パスワードが失敗しましたと表示されます。しかし、実際にはそうではなく、そのドメイン ユーザーで他の Windows マシンにログインできます。ここでも同じ資格情報を入力しています。入力した資格情報は正しいのですが、なぜそのように表示されるのかわかりません。さらに、最初は認証が成功したことがわかりますが、最終的にはアクセスが拒否されます。特定の AD ユーザーまたはグループがこのサーバーにログインできるようにするために、そのユーザーの対応するグループを "simple_allow_groups" に追加する以外に、不足している構成はありますか?
構成は以下のようになります。
[[email protected] ~]# realm list --all
POSTLl.xxxx.xxx
type: kerberos
realm-name: POSTL.xxxx.xxx
domain-name: POSTL.xxxx.xxx
configured: kerberos-member
server-software: active-directory
client-software: sssd
required-package: oddjob
required-package: oddjob-mkhomedir
required-package: sssd
required-package: adcli
required-package: samba-common-tools
login-formats: %[email protected]
login-policy: allow-permitted-logins
permitted-logins:
permitted-groups: gu-adm-infra-unix-systems, gu-adm-esm%unix, gu-adm-epicon, domain%users
答え1
私も今日同じような問題に直面しましたが、これがあなたにとってどのように役立つかはわかりません。
su (root ログイン後) でログインできましたが、ActiveDirectory ユーザーと直接 ssh を実行することができませんでした。
オンラインでいくつかの記事を読み、SSSd サービスを再起動すると、動作するようになりました。
systemctl restart sssd
答え2
これは Red Hat の既知の問題です。これはファイル内の 1 行の単純な省略であり/etc/sssd/sssd.conf、Red Hat リリース V6.4 で修正される予定です。
AD サーバーへのアクセスに使用されるドメイン セクションに次の行を配置する必要があります。
krb5_canonicalize = false
その後、sssd を再起動する必要があります...
service sssd restart
答え3
実際、私は Centos 8 NIS 環境で同じ問題に直面しましたが、次の 2 つのファイルでコメント アウトした pam モジュールに従って、Kerberos ユーザー認証でログインできるようになりました。これは、次のエラー ログでログインの問題を抱えている人の役に立つかもしれません。
Unix_chkpwd: ユーザー情報を取得できませんでした (ユーザー) sshd[19550]: IPによる[ユーザー]のパスワード失敗 致命的: PAM アカウント構成 [preauth] によりユーザー [user] のアクセスが拒否されました
vi /etc/pam.d/パスワード認証 #auth 十分 pam_unix.so nullo try_first_pass #アカウントが必要です pam_unix.so #パスワードは十分 pam_unix.so sha512 シャドウ #セッションには pam_unix.so が必要です
vi システム認証 #auth 十分 pam_unix.so nullok try_first_pass #アカウントが必要です pam_unix.so #パスワードは十分 pam_unix.so sha512 shadow nullok try_first_pass use_authtok #セッションには pam_unix.so が必要です