Puedo cambiar al usuario del dominio mencionado con el comando su desde el servidor, pero el inicio de sesión ssh falla. El grupo de dominio de usuarios ya está agregado en el archivo sssd.conf en "simple_allow_groups"
Los errores en /var/log/secure aparecen de la siguiente manera:
Jan 18 04:10:18 m1-vlp0006 sshd[6420]: pam_sss(sshd:auth): authentication success; logname= uid=0 euid=0 tty=ssh ruser= rhost=138.35.x.x user=postl\u522660
Jan 18 04:10:18 m1-vlp0006 sshd[6420]: pam_sss(sshd:account): Access denied for user postl\u522660: 6 (Permission denied)
Jan 18 04:10:18 m1-vlp0006 sshd[6420]: Failed password for postl\\u522660 from 138.35.x.x port 57903 ssh2
Jan 18 04:10:18 m1-vlp0006 sshd[6420]: fatal: Access denied for user postl\\\\u522660 by PAM account configuration [preauth]
Entendido, dice contraseña fallida. Pero en realidad no es el caso, puedo iniciar sesión exitosamente en otra máquina con Windows con ese usuario de dominio. Las mismas credenciales las estoy ingresando aquí también. Entonces mis credenciales de entrada son correctas, pero no estoy seguro de por qué se muestran así. Además, puedo ver un éxito de autenticación inicialmente, pero termino con acceso denegado. ¿Falta alguna configuración para permitir que un usuario o grupo de AD en particular permita el inicio de sesión en este servidor, además de agregar el grupo correspondiente de ese usuario a "simple_allow_groups"?
La configuración se ve a continuación:
[[email protected] ~]# realm list --all
POSTLl.xxxx.xxx
type: kerberos
realm-name: POSTL.xxxx.xxx
domain-name: POSTL.xxxx.xxx
configured: kerberos-member
server-software: active-directory
client-software: sssd
required-package: oddjob
required-package: oddjob-mkhomedir
required-package: sssd
required-package: adcli
required-package: samba-common-tools
login-formats: %[email protected]
login-policy: allow-permitted-logins
permitted-logins:
permitted-groups: gu-adm-infra-unix-systems, gu-adm-esm%unix, gu-adm-epicon, domain%users
Respuesta1
Me he enfrentado a un problema similar hoy, no estoy seguro de cómo te puede ayudar.
Pude iniciar sesión con su (después de iniciar sesión como root), pero no pude utilizar ssh directamente con los usuarios de ActiveDirectory.
Revisé un par de artículos en línea y recién reinicié el servicio SSSd y comenzó a funcionar.
systemctl restart sssd
Respuesta2
Este es un problema conocido por Red Hat. Es una simple omisión de una sola línea en el /etc/sssd/sssd.confarchivo y se espera que se corrija en la versión V6.4 de Red Hat.
La siguiente línea debe colocarse en la sección de dominio que se utiliza para acceder al servidor AD:
krb5_canonicalize = false
Entonces hay que reiniciar sssd...
service sssd restart
Respuesta3
En realidad, me enfrenté al mismo problema para el entorno Centos 8 NIS y, siguiendo el módulo pam, comenté los siguientes 2 archivos y puedo iniciar sesión con autenticación de usuario Kerberos. Esto podría ayudar a alguien que tiene problemas de inicio de sesión para los siguientes registros de errores.
Unix_chkpwd: no se pudo obtener información del usuario (Usuario) sshd[19550]: Contraseña fallida para [usuario] por IP fatal: Acceso denegado para el usuario [usuario] por la configuración de la cuenta PAM [preauth]
vi /etc/pam.d/contraseña-auth #auth suficiente pam_unix.so nulo try_first_pass #cuenta requerida pam_unix.so #contraseña suficiente pam_unix.so sha512 sombra #sesión requerida pam_unix.so
autenticación del sistema vi #auth suficiente pam_unix.so nullok try_first_pass #cuenta requerida pam_unix.so #contraseña suficiente pam_unix.so sha512 sombra nullok try_first_pass use_authtok #sesión requerida pam_unix.so