Kerberos를 사용하여 로컬 Active Directory 사용자를 인증하기 위해 Centos 7을 사용하고 있습니다. 저는 관리자로 영역에 가입했고 이를 통해 로그인/SSH를 할 수 있습니다.nslookup잘 작동하고, adcli 정보일하고 있습니다. test라는 다른 사용자를 생성하고 Centos를 통해 로그인을 시도하면 다음과 같은 메시지가 나타납니다.
id: test: no such user
getent 비밀번호 테스트아무것도 반환하지 않습니다
내 구성 파일은 다음과 같습니다.
sssd.conf
domains = gio.server
config_file_version = 2
services = nss, pam
[domain/gio.server]
ad_domain = gio.server
krb5_realm = GIO.SERVER
realmd_tags = manages-system joined-with-samba
cache_credentials = True
id_provider = ad
krb5_store_password_if_offline = True
default_shell = /bin/bash
ldap_id_mapping = True
use_fully_qualified_names = False
fallback_homedir = /home/%u
access_provider = ad
여기는krb5.conf
# Configuration snippets may be placed in this directory as well
includedir /etc/krb5.conf.d/
includedir /var/lib/sss/pubconf/krb5.include.d/
[logging]
default = FILE:/var/log/krb5libs.log
kdc = FILE:/var/log/krb5kdc.log
admin_server = FILE:/var/log/kadmind.log
[libdefaults]
default = GIO.SERVER
dns_lookup_realm = true
dns_lookup_kdc = true
ticket_lifetime = 24h
renew_lifetime = 7d
forwardable = true
rdns = false
pkinit_anchors = FILE:/etc/pki/tls/certs/ca-bundle.crt
# default_realm = EXAMPLE.COM
default_ccache_name = KEYRING:persistent:%{uid}
default_realm = GIO.SERVER
[realms]
GIO.SERVER = {
kdc = gio.server:88
default_domain = gio.server
# kdc = kerberos.example.com
# admin_server = kerberos.example.com
}
[domain_realm]
# .example.com = EXAMPLE.COM
# example.com = EXAMPLE.COM
.gio.server = GIO.SERVER
gio.server = GIO.SERVER
그러나 내가 사용하여 문제를 해결했을 때sssctl 사용자 확인 테스트다음 오류를 반환했습니다.
user: test
action: acct
service: system-auth
sss_getpwnam_r failed with [0].
User name lookup with [test] failed.
Unable to get user objectInfoPipe User lookup with [test] failed.
testing pam_acct_mgmt
pam_acct_mgmt: User not known to the underlying authentication module
PAM Environment:
- no env -
빠진 것이 있으면 알려주세요.
답변1
근본적인 문제는 컴퓨터 계정이 AD의 사용자 계정에 필요한 특정 속성에 대한 읽기 권한이 부족하다는 것입니다.
사용자가 Domain Admins에 추가되면 권한 상속이 비활성화되고 특정 권한이 인증된 사용자에게 명시적으로 부여됩니다. 이를 통해 서버는 일반 사용자가 아닌 관리자를 인증하는 데 필요한 속성을 가져올 수 있습니다.
문제를 해결하려면 인증된 사용자 또는 특별히 생성된 보안 그룹에 "하위 사용자 개체"에 적용되는 도메인 루트에 대한 "내용 나열", "모든 속성 읽기" 및 "권한 읽기" 권한을 부여하십시오.