Posso mudar para o usuário de domínio mencionado com o comando su do servidor, mas o login ssh está falhando. O grupo de domínio do usuário já foi adicionado no arquivo sssd.conf em "simple_allow_groups"
Os erros em /var/log/secure aparecem da seguinte forma:
Jan 18 04:10:18 m1-vlp0006 sshd[6420]: pam_sss(sshd:auth): authentication success; logname= uid=0 euid=0 tty=ssh ruser= rhost=138.35.x.x user=postl\u522660
Jan 18 04:10:18 m1-vlp0006 sshd[6420]: pam_sss(sshd:account): Access denied for user postl\u522660: 6 (Permission denied)
Jan 18 04:10:18 m1-vlp0006 sshd[6420]: Failed password for postl\\u522660 from 138.35.x.x port 57903 ssh2
Jan 18 04:10:18 m1-vlp0006 sshd[6420]: fatal: Access denied for user postl\\\\u522660 by PAM account configuration [preauth]
Entendido isso, diz falha na senha. Mas na verdade não é o caso, consigo fazer login em outra máquina Windows com esse usuário de domínio com êxito. As mesmas credenciais que estou inserindo aqui também. Portanto, minhas credenciais de entrada estão corretas, mas não sei por que estão aparecendo assim. Além disso, posso ver um sucesso de autenticação inicialmente, mas acabo com acesso negado. Existe alguma configuração faltando para permitir que um usuário ou grupo específico do AD permita login neste servidor, além de adicionar o grupo correspondente desse usuário a "simple_allow_groups"
configuração fica como abaixo:
[[email protected] ~]# realm list --all
POSTLl.xxxx.xxx
type: kerberos
realm-name: POSTL.xxxx.xxx
domain-name: POSTL.xxxx.xxx
configured: kerberos-member
server-software: active-directory
client-software: sssd
required-package: oddjob
required-package: oddjob-mkhomedir
required-package: sssd
required-package: adcli
required-package: samba-common-tools
login-formats: %[email protected]
login-policy: allow-permitted-logins
permitted-logins:
permitted-groups: gu-adm-infra-unix-systems, gu-adm-esm%unix, gu-adm-epicon, domain%users
Responder1
Eu enfrentei um problema semelhante hoje, não sei como isso ajuda você.
Consegui fazer login com su (após login root), mas não consegui usar o ssh diretamente com os usuários do ActiveDirectory.
Li alguns artigos on-line e acabei de reiniciar o serviço SSSd e ele começou a funcionar.
systemctl restart sssd
Responder2
Este é um problema conhecido pela Red Hat. É uma simples omissão de uma única linha no /etc/sssd/sssd.confarquivo e espera-se que seja corrigida na versão V6.4 do Red Hat.
A linha a seguir precisa ser colocada na seção de domínio usada para acesso ao servidor AD:
krb5_canonicalize = false
Então o sssd deve ser reiniciado ...
service sssd restart
Responder3
Na verdade, enfrentei o mesmo problema no ambiente Centos 8 NIS e seguindo o módulo pam comentei nos 2 arquivos a seguir e consigo fazer login com autenticação de usuário Kerberos. Isso pode estar ajudando alguém que está tendo problemas de login nos seguintes logs de erros.
Unix_chkpwd: não foi possível obter informações do usuário (Usuário) sshd[19550]: Falha na senha para [usuário] por IP fatal: Acesso negado ao usuário [usuário] pela configuração da conta PAM [preauth]
vi /etc/pam.d/password-auth #auth suficiente pam_unix.so nullo try_first_pass #conta necessária pam_unix.so #senha suficiente pam_unix.so sombra sha512 #sessão necessária pam_unix.so
vi autenticação do sistema #auth suficiente pam_unix.so nullok try_first_pass #conta necessária pam_unix.so #senha suficiente pam_unix.so sha512 shadow nullok try_first_pass use_authtok #sessão necessária pam_unix.so