Me cuesta un poco configurar la autenticación ldap en Ubuntu 20.04. Seguíesta guía, es decir, instalé los paquetes libnss-ldap libpam-ldap ldap-utils nscd.
nsswitch.confaspecto
passwd: files systemd ldap
group: files systemd ldap
shadow: files ldap
gshadow: files
Cambié la línea /etc/pam.d/common-passwordpara que diga
password [success=1 user_unknown=ignore default=die] pam_ldap.so try_first_pass
Y agregué la siguiente línea a /etc/pam.d/common-session:
session optional pam_mkhomedir.so skel=/etc/skel umask=022
Ahora no estoy seguro de si es necesario que el usuario exista localmente o no. Si el usuario existe, todo funciona bien. Si no, recibo los siguientes mensajes en auth.log:
Jan 27 07:06:55 myserver sshd[4479]: Invalid user myuser from xxxx:xxx:xxxx:xxx::xx port 50556
Jan 27 07:07:03 myserver sshd[4479]: pam_unix(sshd:auth): check pass; user unknown
Jan 27 07:07:03 myserver sshd[4479]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=xxxx:xxx:xxxx:xxx::xx
Jan 27 07:07:03 myserver sshd[4479]: pam_ldap: error trying to bind as user "CN=myuser,OU=Users,OU=TEST,DC=ad,DC=test,DC=example,DC=de" (Invalid credentials)
Jan 27 07:07:05 myserver sshd[4479]: Failed password for invalid user myuser from xxxx:xxx:xxxx:xxx::xx port 50556 ssh2
¿Estoy haciendo algo mal y el usuario debería crearse automáticamente (si no existe localmente) o está funcionando como se esperaba y tengo que crear los usuarios de antemano?
Respuesta1
¿Está agregando el nombre de dominio completo cuando inicia sesión? Al iniciar sesión usando usuarios de AD (LDAP) debemos usar el nombre completo como tal
ssh[correo electrónico protegido]@THESERVERHOSTNAME