서버에서 su 명령을 사용하여 언급된 도메인 사용자로 전환할 수 있지만 SSH 로그인이 실패합니다. 사용자 도메인 그룹은 "simple_allow_groups" 아래의 sssd.conf 파일에 이미 추가되어 있습니다.
/var/log/secure의 오류는 다음과 같이 나타납니다.
Jan 18 04:10:18 m1-vlp0006 sshd[6420]: pam_sss(sshd:auth): authentication success; logname= uid=0 euid=0 tty=ssh ruser= rhost=138.35.x.x user=postl\u522660
Jan 18 04:10:18 m1-vlp0006 sshd[6420]: pam_sss(sshd:account): Access denied for user postl\u522660: 6 (Permission denied)
Jan 18 04:10:18 m1-vlp0006 sshd[6420]: Failed password for postl\\u522660 from 138.35.x.x port 57903 ssh2
Jan 18 04:10:18 m1-vlp0006 sshd[6420]: fatal: Access denied for user postl\\\\u522660 by PAM account configuration [preauth]
알겠습니다. 비밀번호 실패라고 뜹니다. 그러나 실제로는 그렇지 않습니다. 해당 도메인 사용자로 다른 Windows 시스템에 성공적으로 로그인할 수 있습니다. 여기에 입력하는 것과 동일한 자격 증명도 있습니다. 따라서 내 입력 자격 증명은 정확하지만 왜 그렇게 표시되는지 잘 모르겠습니다. 또한 처음에는 인증 성공을 볼 수 있지만 결국 액세스가 거부되었습니다. 해당 사용자의 해당 그룹을 "simple_allow_groups"에 추가하는 것 외에 특정 AD 사용자 또는 그룹이 이 서버에 대한 로그인을 허용하도록 허용하는 구성이 누락되어 있습니까?
구성은 아래와 같습니다.
[[email protected] ~]# realm list --all
POSTLl.xxxx.xxx
type: kerberos
realm-name: POSTL.xxxx.xxx
domain-name: POSTL.xxxx.xxx
configured: kerberos-member
server-software: active-directory
client-software: sssd
required-package: oddjob
required-package: oddjob-mkhomedir
required-package: sssd
required-package: adcli
required-package: samba-common-tools
login-formats: %[email protected]
login-policy: allow-permitted-logins
permitted-logins:
permitted-groups: gu-adm-infra-unix-systems, gu-adm-esm%unix, gu-adm-epicon, domain%users
답변1
오늘도 비슷한 문제에 직면했는데 이것이 어떻게 도움이 될지 모르겠습니다.
su(루트 로그인 후)로 로그인할 수 있었지만 ActiveDirectory 사용자와 직접 SSH를 사용할 수는 없었습니다.
나는 온라인에서 몇 가지 기사를 살펴보고 작동하기 시작한 SSSd 서비스를 다시 시작했습니다.
systemctl restart sssd
답변2
이는 Red Hat에서 알려진 문제입니다. 이는 파일에서 한 줄만 누락된 것이며 /etc/sssd/sssd.confV6.4 Red Hat 릴리스에서 수정될 예정입니다.
AD 서버에 액세스하는 데 사용되는 도메인 섹션에 다음 줄을 배치해야 합니다.
krb5_canonicalize = false
그러면 sssd를 다시 시작해야 합니다...
service sssd restart
답변3
실제로 저는 Centos 8 NIS 환경에서 동일한 문제에 직면했으며 pam 모듈에 따라 다음 2개 파일에 주석을 달았으며 Kerberos 사용자 인증으로 로그인할 수 있습니다. 이는 다음 오류 로그에 대한 로그인 문제가 있는 사람에게 도움이 될 수 있습니다.
Unix_chkpwd: 사용자 정보를 얻을 수 없습니다(사용자). sshd[19550]: IP로 [사용자]의 비밀번호 실패 치명적: PAM 계정 구성 [preauth]에 의해 사용자 [user]에 대한 액세스가 거부되었습니다.
vi /etc/pam.d/password-auth #auth 충분 pam_unix.so nullo try_first_pass #계정이 필요합니다 pam_unix.so #비밀번호가 충분합니다. pam_unix.so sha512 섀도우 #세션 필요 pam_unix.so
vi 시스템 인증 #auth 충분 pam_unix.so nullok try_first_pass #계정이 필요합니다 pam_unix.so #비밀번호가 충분함 pam_unix.so sha512 Shadow nullok try_first_pass use_authtok #세션 필요 pam_unix.so