我遇到了這種奇怪的情況:在 Centos 6.6 機器上,在我的 中sshd_config,我有一行
AllowGroups foo bar baz
就像在所有其他伺服器上一樣。但是,當使用者baz(其群組為baz)嘗試登入這台伺服器時,登入就會被拒絕,
在日誌中我看到
May 17 16:27:03 myserver sshd[6172]: User baz from other.server.com not allowed because none of user's groups are listed in AllowGroups
且用戶無法登入。當然,我已經重新啟動了 ssh 守護程序以確保配置已生效。
另外,如果我從 中完全刪除“AllowGroups”行sshd_config,登入就可以了。現在我想知道為什麼 sshd 沒有選擇這個群組(另外,群組內的使用者可以使用AllowGroupsactive 登入)。此外,(看似)精確的設定也適用於其他主機。配置是透過 puppet 部署的,因此它確實應該是相同的。有任何想法嗎?
編輯按照下面的要求,輸出
root@foobar:/etc/ssh $ groups baz
baz : nburoot
預期將baz作為群組...所以現在我需要檢查為什麼該群組是錯誤的(即使/etc/groups它是正確的)。我將發布解決方案作為答案。
答案1
感謝@Jakuje,我檢查了組成員資格,結果groups baz表明有效組不是我對 中的條目所期望的/etc/group。由於我們還安裝了 centrify,我查看了配置,這似乎是正確的(baz已在 中列出/etc/centrifydc/groups.ignore)。我重新啟動了代理程式 ( service centrifydc restart),這解決了該問題。baz現在擁有正確的群組並可以登入。