Estou usando o Centos 7 para autenticar localmente usuários do Active Directory usando Kerberos. Entrei no reino com o Administrador e posso fazer login/ssh através dele/com ele,nslookupfuncionando bem e informações do adcliestá funcionando. Quando crio outro usuário chamado test e tento fazer login através do Centos, recebo o seguinte:
id: test: no such user
teste de senha getentnão retorna nada
Aqui estão meus arquivos de configuração:
sssd.conf
domains = gio.server
config_file_version = 2
services = nss, pam
[domain/gio.server]
ad_domain = gio.server
krb5_realm = GIO.SERVER
realmd_tags = manages-system joined-with-samba
cache_credentials = True
id_provider = ad
krb5_store_password_if_offline = True
default_shell = /bin/bash
ldap_id_mapping = True
use_fully_qualified_names = False
fallback_homedir = /home/%u
access_provider = ad
Aqui está okrb5.conf
# Configuration snippets may be placed in this directory as well
includedir /etc/krb5.conf.d/
includedir /var/lib/sss/pubconf/krb5.include.d/
[logging]
default = FILE:/var/log/krb5libs.log
kdc = FILE:/var/log/krb5kdc.log
admin_server = FILE:/var/log/kadmind.log
[libdefaults]
default = GIO.SERVER
dns_lookup_realm = true
dns_lookup_kdc = true
ticket_lifetime = 24h
renew_lifetime = 7d
forwardable = true
rdns = false
pkinit_anchors = FILE:/etc/pki/tls/certs/ca-bundle.crt
# default_realm = EXAMPLE.COM
default_ccache_name = KEYRING:persistent:%{uid}
default_realm = GIO.SERVER
[realms]
GIO.SERVER = {
kdc = gio.server:88
default_domain = gio.server
# kdc = kerberos.example.com
# admin_server = kerberos.example.com
}
[domain_realm]
# .example.com = EXAMPLE.COM
# example.com = EXAMPLE.COM
.gio.server = GIO.SERVER
gio.server = GIO.SERVER
No entanto, quando eu estava solucionando problemas usandoteste de verificações de usuário sssctlretornou o seguinte erro:
user: test
action: acct
service: system-auth
sss_getpwnam_r failed with [0].
User name lookup with [test] failed.
Unable to get user objectInfoPipe User lookup with [test] failed.
testing pam_acct_mgmt
pam_acct_mgmt: User not known to the underlying authentication module
PAM Environment:
- no env -
Por favor, se estiver faltando alguma coisa, me avise.
Responder1
O problema subjacente é a falta de permissões de leitura para propriedades específicas que a conta do computador precisa para as contas de usuário no AD.
Quando um usuário é adicionado aos Administradores de Domínio, a herança de permissão é desativada e determinadas permissões são concedidas explicitamente aos Usuários Autenticados. Isso permite que o servidor obtenha as propriedades necessárias para autenticar administradores, mas não usuários normais.
Para corrigir o problema, conceda aos usuários autenticados ou a um grupo de segurança criado especificamente as permissões "Listar conteúdo", "Ler todas as propriedades" e "Permissões de leitura" na raiz do domínio que se aplica a "Objetos de usuário descendente".