Я использую Centos 7 для аутентификации локально пользователей Active Directory с помощью kerberos. Я присоединился к области с правами администратора и могу войти/ssh через него/с ним,nslookupработает отлично, и adcli информацияработает. Когда я создаю другого пользователя с именем test и пытаюсь войти через Centos, я получаю следующее:
id: test: no such user
тест getent passwdничего не возвращает
Вот мои файлы конфигурации:
sssd.conf
domains = gio.server
config_file_version = 2
services = nss, pam
[domain/gio.server]
ad_domain = gio.server
krb5_realm = GIO.SERVER
realmd_tags = manages-system joined-with-samba
cache_credentials = True
id_provider = ad
krb5_store_password_if_offline = True
default_shell = /bin/bash
ldap_id_mapping = True
use_fully_qualified_names = False
fallback_homedir = /home/%u
access_provider = ad
Здесьkrb5.conf
# Configuration snippets may be placed in this directory as well
includedir /etc/krb5.conf.d/
includedir /var/lib/sss/pubconf/krb5.include.d/
[logging]
default = FILE:/var/log/krb5libs.log
kdc = FILE:/var/log/krb5kdc.log
admin_server = FILE:/var/log/kadmind.log
[libdefaults]
default = GIO.SERVER
dns_lookup_realm = true
dns_lookup_kdc = true
ticket_lifetime = 24h
renew_lifetime = 7d
forwardable = true
rdns = false
pkinit_anchors = FILE:/etc/pki/tls/certs/ca-bundle.crt
# default_realm = EXAMPLE.COM
default_ccache_name = KEYRING:persistent:%{uid}
default_realm = GIO.SERVER
[realms]
GIO.SERVER = {
kdc = gio.server:88
default_domain = gio.server
# kdc = kerberos.example.com
# admin_server = kerberos.example.com
}
[domain_realm]
# .example.com = EXAMPLE.COM
# example.com = EXAMPLE.COM
.gio.server = GIO.SERVER
gio.server = GIO.SERVER
Однако, когда я устранял неполадки с помощьюsssctl пользователь-проверяет тестон вернул следующую ошибку:
user: test
action: acct
service: system-auth
sss_getpwnam_r failed with [0].
User name lookup with [test] failed.
Unable to get user objectInfoPipe User lookup with [test] failed.
testing pam_acct_mgmt
pam_acct_mgmt: User not known to the underlying authentication module
PAM Environment:
- no env -
Если чего-то не хватает, пожалуйста, дайте мне знать.
решение1
Основная проблема заключается в отсутствии разрешений на чтение определенных свойств, которые требуются учетной записи компьютера для учетных записей пользователей в AD.
Когда пользователь добавляется в Domain Admins, наследование разрешений отключается, и определенные разрешения явно предоставляются Authenticated Users. Это позволяет серверу извлекать необходимые свойства для аутентификации администраторов, но не обычных пользователей.
Чтобы устранить эту проблему, предоставьте аутентифицированным пользователям или специально созданной группе безопасности разрешения «Список содержимого», «Чтение всех свойств» и «Чтение разрешений» в корне домена, применяемые к «Дочерним объектам пользователей».