Estoy usando Centos 7 para autenticar localmente a los usuarios del directorio activo usando kerberos. Me uní al reino con el Administrador y puedo iniciar sesión/ssh a través de él/con él,búsquedanfuncionando bien y información adcliestá trabajando. Cuando creo otro usuario llamado test e intento iniciar sesión a través de Centos, aparece lo siguiente:
id: test: no such user
prueba de contraseña getentno devuelve nada
Aquí están mis archivos de configuración:
sssd.conf
domains = gio.server
config_file_version = 2
services = nss, pam
[domain/gio.server]
ad_domain = gio.server
krb5_realm = GIO.SERVER
realmd_tags = manages-system joined-with-samba
cache_credentials = True
id_provider = ad
krb5_store_password_if_offline = True
default_shell = /bin/bash
ldap_id_mapping = True
use_fully_qualified_names = False
fallback_homedir = /home/%u
access_provider = ad
Aquí está elkrb5.conf
# Configuration snippets may be placed in this directory as well
includedir /etc/krb5.conf.d/
includedir /var/lib/sss/pubconf/krb5.include.d/
[logging]
default = FILE:/var/log/krb5libs.log
kdc = FILE:/var/log/krb5kdc.log
admin_server = FILE:/var/log/kadmind.log
[libdefaults]
default = GIO.SERVER
dns_lookup_realm = true
dns_lookup_kdc = true
ticket_lifetime = 24h
renew_lifetime = 7d
forwardable = true
rdns = false
pkinit_anchors = FILE:/etc/pki/tls/certs/ca-bundle.crt
# default_realm = EXAMPLE.COM
default_ccache_name = KEYRING:persistent:%{uid}
default_realm = GIO.SERVER
[realms]
GIO.SERVER = {
kdc = gio.server:88
default_domain = gio.server
# kdc = kerberos.example.com
# admin_server = kerberos.example.com
}
[domain_realm]
# .example.com = EXAMPLE.COM
# example.com = EXAMPLE.COM
.gio.server = GIO.SERVER
gio.server = GIO.SERVER
Sin embargo, cuando estaba solucionando problemas usandoprueba de comprobaciones de usuario sssctldevolvió el siguiente error:
user: test
action: acct
service: system-auth
sss_getpwnam_r failed with [0].
User name lookup with [test] failed.
Unable to get user objectInfoPipe User lookup with [test] failed.
testing pam_acct_mgmt
pam_acct_mgmt: User not known to the underlying authentication module
PAM Environment:
- no env -
Por favor, si falta algo, háganmelo saber.
Respuesta1
El problema subyacente es la falta de permisos de lectura para propiedades específicas que la cuenta de computadora necesita para las cuentas de usuario en AD.
Cuando se agrega un usuario a los administradores de dominio, la herencia de permisos se desactiva y ciertos permisos se otorgan explícitamente a los usuarios autenticados. Esto permite que el servidor obtenga las propiedades necesarias para autenticar a los administradores, pero no a los usuarios normales.
Para corregir el problema, otorgue a los usuarios autenticados o a un grupo de seguridad creado específicamente los permisos "Listar contenido", "Leer todas las propiedades" y "Permisos de lectura" en la raíz del dominio que se aplican a los "objetos de usuario descendiente".