Active-Directory

Linux AD 集成,使用 Windows Server 2012 DC 時無法登錄

  • February 25, 2022

我正在嘗試將我的 CentOS 6.6 伺服器集成到 Active Directory 中。我使用配置 3 (SSSD/Kerberos/LDAP) 遵循了 Red Hat 的指南。當使用 Windows Server 2008 R2 伺服器作為啟用 IMU 的域控制器時,一切正常。

但是,當我使用啟用了 IMU 的 Windows Server 2012 R2 伺服器時,我能夠獲取 kerberos 票證、加入域、搜尋 LDAP,但是當我嘗試從控制台以 AD 使用者身份登錄時,我在 /var/log/messages 中獲取此錯誤消息:

6月6日 11:12:30 測試

$$ sssd[krb5_child[4760 $$]]:預認證失敗

/var/log/secure 顯示以下錯誤消息:

Jun 6 11:12:15 test login: pam_sss(login:auth): received for user aduser@domain.local: 17 (Failure setting user credentials)

6 月 6 日 11:12:17 測試登錄:FAILED LOGIN 1 FROM (null) FOR aduser@domain.local,身份驗證失敗

使用getent passwd adusergetent group linuxgroup返回成功。

我試過這個 sssd.conf 文件:

[固態硬碟]
config_file_version = 2
服務 = nss、pam
域 = domain.local
調試級別 = 5

[域/域.local]
id_provider = 廣告
auth_provider = 廣告

ad_server = dc.domain.local

default_shell = /bin/bash
fallback_homedir = /home/%d/%u

cache_credentials = false
ldap_id_mapping = false

然後我閱讀了這個錯誤報告。因此,我將 sssd.conf 文件更改為:

[固態硬碟]
config_file_version = 2
重新連接重試次數 = 2
服務 = nss,pam
調試級別 = 5
域 = domain.local

[nss]
調試級別 = 5

[帕姆]
調試級別 = 5

[域/域.local]
id_provider = ldap
auth_provider = krb5
chpass_provider = krb5
調試級別 = 5

ldap_uri = ldap://dc.domain.local/
ldap_sasl_mech = GSSAPI
ldap_schema = rfc2307bis

ldap_user_search_base = dc=域,dc=本地
ldap_user_object_class = 使用者

ldap_user_home_directory = unixHomeDirectory
ldap_user_principal = userPrincipalName

ldap_group_search_base = dc=域,dc=本地
ldap_group_object_class = 組

ldap_access_order = 過期
ldap_account_expire_policy = 廣告
ldap_force_upper_case_realm = true

ldap_referrals = 假

krb5_server = dc.domain.local
krb5_realm = DOMAIN.LOCAL
krb5_canonicalize = 假

列舉=假
cache_credentials = false

我已經清除了我的 SSSD 記憶體並重新啟動了服務。但是我無法登錄。

我現在在 /var/log/messages 中收到此錯誤:

6月6日 11:21:43 測試

$$ sssd[krb5_child[1546 $$]]: 沒有權限

我在 /var/log/sssd/krb5_child.log 中看到此錯誤:

(2015 年 6 月 6 日星期六 11:21:43)

$$ [sssd[krb5_child[1387 $$]]]$$ sss_get_ccache_name_for_principal $$(0x2000):krb5_cc_cache_match 失敗:$$ -1765328243 $$$$ Can’t find client principal aduser@DOMAIN.LOCAL in cache collection $$ (2015 年 6 月 6 日星期六 11:21:43)

$$ [sssd[krb5_child[1387 $$]]]$$ create_ccache $$(0x0020): 575:$$ 13 $$$$ Permission denied $$

現在,這就是它變得奇怪的地方。作為 root,如果我 su 到任何 AD 域使用者,它實際上可以工作並且主目錄是自動創建的。我即將認輸並堅持使用 2k8 DC。

如果沒有查看調試日誌,我無法給出更合格的答案sssd,但是您所指的錯誤報告僅具有性能影響,而不具有功能性。

您能夠訪問su帳戶的原因root是 PAM 堆棧通常包含pam_rootok.so繞過身份驗證的模組pam_sss。給定 auth from rootworks,我們至少知道檢索身份資訊是有效的,但不是 auth。

我建議在此處或 sssd-users 列表中為該問題添加更多資訊。最重要sssd的是,debug_level從域部分和krb5_child.log.

請在 SSSD wiki 上的故障排除文件中找到更多資訊。

引用自:https://serverfault.com/questions/697113