Ich kann mit dem Befehl su vom Server aus zum genannten Domänenbenutzer wechseln, aber die SSH-Anmeldung schlägt fehl. Die Benutzerdomänengruppe wurde bereits in der Datei sssd.conf unter „simple_allow_groups“ hinzugefügt.
Die Fehler in /var/log/secure sehen wie folgt aus:
Jan 18 04:10:18 m1-vlp0006 sshd[6420]: pam_sss(sshd:auth): authentication success; logname= uid=0 euid=0 tty=ssh ruser= rhost=138.35.x.x user=postl\u522660
Jan 18 04:10:18 m1-vlp0006 sshd[6420]: pam_sss(sshd:account): Access denied for user postl\u522660: 6 (Permission denied)
Jan 18 04:10:18 m1-vlp0006 sshd[6420]: Failed password for postl\\u522660 from 138.35.x.x port 57903 ssh2
Jan 18 04:10:18 m1-vlp0006 sshd[6420]: fatal: Access denied for user postl\\\\u522660 by PAM account configuration [preauth]
Verstanden, es heißt „Passwort fehlgeschlagen“. Aber in Wirklichkeit ist das nicht der Fall, ich kann mich mit diesem Domänenbenutzer erfolgreich bei einem anderen Windows-Rechner anmelden. Dieselben Anmeldeinformationen gebe ich auch hier ein. Meine eingegebenen Anmeldeinformationen sind also korrekt, aber ich bin mir nicht sicher, warum das so angezeigt wird. Außerdem sehe ich zunächst eine erfolgreiche Authentifizierung, aber am Ende wird mir der Zugriff verweigert. Fehlt eine Konfiguration, um einem bestimmten AD-Benutzer oder einer bestimmten AD-Gruppe die Anmeldung bei diesem Server zu gestatten, außer die entsprechende Gruppe dieses Benutzers zu „simple_allow_groups“ hinzuzufügen?
Die Konfiguration sieht wie folgt aus:
[[email protected] ~]# realm list --all
POSTLl.xxxx.xxx
type: kerberos
realm-name: POSTL.xxxx.xxx
domain-name: POSTL.xxxx.xxx
configured: kerberos-member
server-software: active-directory
client-software: sssd
required-package: oddjob
required-package: oddjob-mkhomedir
required-package: sssd
required-package: adcli
required-package: samba-common-tools
login-formats: %[email protected]
login-policy: allow-permitted-logins
permitted-logins:
permitted-groups: gu-adm-infra-unix-systems, gu-adm-esm%unix, gu-adm-epicon, domain%users
Antwort1
Ich hatte heute ein ähnliches Problem und bin nicht sicher, wie Ihnen das hilft.
Ich konnte mich mit su anmelden (nach der Root-Anmeldung), konnte aber kein direktes SSH mit den ActiveDirectory-Benutzern verwenden.
Ich habe mir ein paar Artikel im Internet durchgelesen und gerade den SSSd-Dienst neu gestartet, danach funktionierte er wieder.
systemctl restart sssd
Antwort2
Dies ist ein bekanntes Problem bei Red Hat. Es handelt sich lediglich um das Auslassen einer einzigen Zeile in der /etc/sssd/sssd.confDatei und wird voraussichtlich in der Red Hat-Version V6.4 behoben.
Im Domänenabschnitt, der für den Zugriff auf den AD-Server verwendet wird, muss folgende Zeile eingefügt werden:
krb5_canonicalize = false
Dann muss sssd neu gestartet werden...
service sssd restart
Antwort3
Tatsächlich hatte ich dasselbe Problem in der Centos 8 NIS-Umgebung und habe nach dem PAM-Modul die folgenden 2 Dateien auskommentiert und kann mich nun mit Kerberos-Benutzerauthentifizierung anmelden. Dies könnte jemandem helfen, der Anmeldeprobleme mit den folgenden Fehlerprotokollen hat.
Unix_chkpwd: Benutzerinformationen (Benutzer) konnten nicht abgerufen werden sshd[19550]: Fehlgeschlagenes Passwort für [Benutzer] per IP fatal: Zugriff für Benutzer [user] durch PAM-Kontokonfiguration verweigert [preauth]
vi /etc/pam.d/password-auth #auth ausreichend pam_unix.so nullo try_first_pass #Konto erforderlich pam_unix.so #Passwort ausreichend pam_unix.so sha512 shadow #Sitzung erforderlich pam_unix.so
vi Systemauthentifizierung #auth ausreichend pam_unix.so nullok try_first_pass #Konto erforderlich pam_unix.so #Passwort ausreichend pam_unix.so sha512 shadow nullok try_first_pass use_authtok #Sitzung erforderlich pam_unix.so