Я могу переключиться на указанного пользователя домена с помощью команды su с сервера, но вход по ssh не удается. Группа домена пользователя уже добавлена в файл sssd.conf в разделе "simple_allow_groups"
Ошибки в /var/log/secure выглядят следующим образом:
Jan 18 04:10:18 m1-vlp0006 sshd[6420]: pam_sss(sshd:auth): authentication success; logname= uid=0 euid=0 tty=ssh ruser= rhost=138.35.x.x user=postl\u522660
Jan 18 04:10:18 m1-vlp0006 sshd[6420]: pam_sss(sshd:account): Access denied for user postl\u522660: 6 (Permission denied)
Jan 18 04:10:18 m1-vlp0006 sshd[6420]: Failed password for postl\\u522660 from 138.35.x.x port 57903 ssh2
Jan 18 04:10:18 m1-vlp0006 sshd[6420]: fatal: Access denied for user postl\\\\u522660 by PAM account configuration [preauth]
Понял, что он говорит failed passwd. Но на самом деле это не так, я могу успешно войти на другую машину Windows с этим пользователем домена. Те же учетные данные, которые я ввожу здесь. Так что мои входные учетные данные верны, но не уверен, почему они отображаются так. Кроме того, я вижу, что аутентификация прошла успешно изначально, но в итоге получаю отказ в доступе. Отсутствует ли какая-либо конфигурация, позволяющая определенному пользователю или группе AD разрешать вход на этот сервер, кроме добавления соответствующей группы этого пользователя в "simple_allow_groups"
Конфигурация выглядит следующим образом:
[[email protected] ~]# realm list --all
POSTLl.xxxx.xxx
type: kerberos
realm-name: POSTL.xxxx.xxx
domain-name: POSTL.xxxx.xxx
configured: kerberos-member
server-software: active-directory
client-software: sssd
required-package: oddjob
required-package: oddjob-mkhomedir
required-package: sssd
required-package: adcli
required-package: samba-common-tools
login-formats: %[email protected]
login-policy: allow-permitted-logins
permitted-logins:
permitted-groups: gu-adm-infra-unix-systems, gu-adm-esm%unix, gu-adm-epicon, domain%users
решение1
Я столкнулся с похожей проблемой сегодня, не знаю, как это вам поможет.
Мне удалось войти в систему с помощью su (после входа в систему как root), но не удалось подключиться по ssh напрямую к пользователям ActiveDirectory.
Я прочитал несколько статей в Интернете и просто перезапустил службу SSSd, и она начала работать.
systemctl restart sssd
решение2
Это известная проблема Red Hat. Это просто пропуск одной строки в файле /etc/sssd/sssd.conf, и ожидается, что она будет исправлена в выпуске Red Hat V6.4.
В раздел домена, который используется для доступа к серверу AD, необходимо поместить следующую строку:
krb5_canonicalize = false
Затем необходимо перезапустить sssd...
service sssd restart
решение3
На самом деле, я столкнулся с той же проблемой для среды Centos 8 NIS и, следуя модулю pam, который я закомментировал в следующих 2 файлах, я могу войти с аутентификацией пользователя kerberos. Это может помочь кому-то, у кого возникли проблемы со входом для следующих журналов ошибок.
Unix_chkpwd: не удалось получить информацию о пользователе (Пользователь) sshd[19550]: Неверный пароль для [пользователя] по IP фатальная ошибка: доступ запрещен для пользователя [user] из-за конфигурации учетной записи PAM [preauth]
vi /etc/pam.d/password-auth #auth достаточно pam_unix.so nullo try_first_pass #требуется учетная запись pam_unix.so #пароль достаточен pam_unix.so sha512 shadow #сессия требуется pam_unix.so
vi системная аутентификация #auth достаточно pam_unix.so nullok try_first_pass #требуется учетная запись pam_unix.so #пароль достаточен pam_unix.so sha512 shadow nullok try_first_pass use_authtok #сессия требуется pam_unix.so