我可以使用伺服器上的 su 命令切換到提到的網域用戶,但 ssh 登入失敗。使用者網域群組已新增至「simple_allow_groups」下的 sssd.conf 檔案中
/var/log/secure 中的錯誤如下:
Jan 18 04:10:18 m1-vlp0006 sshd[6420]: pam_sss(sshd:auth): authentication success; logname= uid=0 euid=0 tty=ssh ruser= rhost=138.35.x.x user=postl\u522660
Jan 18 04:10:18 m1-vlp0006 sshd[6420]: pam_sss(sshd:account): Access denied for user postl\u522660: 6 (Permission denied)
Jan 18 04:10:18 m1-vlp0006 sshd[6420]: Failed password for postl\\u522660 from 138.35.x.x port 57903 ssh2
Jan 18 04:10:18 m1-vlp0006 sshd[6420]: fatal: Access denied for user postl\\\\u522660 by PAM account configuration [preauth]
明白了,它說密碼失敗。但實際上情況並非如此,我能夠使用該網域使用者成功登入其他 Windows 電腦。我也在這裡輸入相同的憑證。所以我的輸入憑證是正確的,但不確定為什麼會這樣顯示。此外,我最初可以看到身份驗證成功,但最終訪問被拒絕。除了將該使用者的相應群組新增至「simple_allow_groups」之外,是否缺少任何設定來允許特定 AD 使用者或群組允許登入此伺服器
配置如下圖所示:
[[email protected] ~]# realm list --all
POSTLl.xxxx.xxx
type: kerberos
realm-name: POSTL.xxxx.xxx
domain-name: POSTL.xxxx.xxx
configured: kerberos-member
server-software: active-directory
client-software: sssd
required-package: oddjob
required-package: oddjob-mkhomedir
required-package: sssd
required-package: adcli
required-package: samba-common-tools
login-formats: %[email protected]
login-policy: allow-permitted-logins
permitted-logins:
permitted-groups: gu-adm-infra-unix-systems, gu-adm-esm%unix, gu-adm-epicon, domain%users
答案1
我今天遇到了類似的問題,不知道這對你有什麼幫助。
我能夠使用 su 登入(root 登入後),但無法直接使用 ActiveDirectory 使用者進行 ssh。
我在網路上瀏覽了幾篇文章,然後重新啟動了 SSSd 服務,它就開始運作了。
systemctl restart sssd
答案2
這是紅帽的已知問題。這是文件中單行的簡單遺漏/etc/sssd/sssd.conf,預計會在 V6.4 Red Hat 版本中修正。
以下行需要放置在用於存取 AD 伺服器的網域部分中:
krb5_canonicalize = false
然後必須重新啟動 sssd...
service sssd restart
答案3
實際上,我在 Centos 8 NIS 環境中遇到了相同的問題,並且按照我在以下 2 個檔案中註解掉的 pam 模組,我能夠使用 kerberos 使用者身份驗證登入。這可能會幫助那些因以下錯誤日誌而遇到登入問題的人。
Unix_chkpwd:無法取得使用者資訊(使用者) sshd[19550]:[使用者]的 IP 密碼失敗 致命:PAM 帳戶配置 [preauth] 拒絕使用者 [user] 的訪問
vi /etc/pam.d/password-auth #auth 夠 pam_unix.so nullo try_first_pass #需要帳戶 pam_unix.so #密碼足夠 pam_unix.so sha512 影子 #需要會話 pam_unix.so
vi 系統驗證 #auth 夠 pam_unix.so nullok try_first_pass #需要帳戶 pam_unix.so #密碼足夠 pam_unix.so sha512 影子 nullok try_first_pass use_authtok #需要會話 pam_unix.so