Linux AD 集成,使用 Windows Server 2012 DC 時無法登錄
我正在嘗試將我的 CentOS 6.6 伺服器集成到 Active Directory 中。我使用配置 3 (SSSD/Kerberos/LDAP) 遵循了 Red Hat 的本指南。當使用 Windows Server 2008 R2 伺服器作為啟用 IMU 的域控制器時,一切正常。
但是,當我使用啟用了 IMU 的 Windows Server 2012 R2 伺服器時,我能夠獲取 kerberos 票證、加入域、搜尋 LDAP,但是當我嘗試從控制台以 AD 使用者身份登錄時,我在 /var/log/messages 中獲取此錯誤消息:
6月6日 11:12:30 測試
$$ sssd[krb5_child[4760 $$]]:預認證失敗
/var/log/secure 顯示以下錯誤消息:
Jun 6 11:12:15 test login: pam_sss(login:auth): received for user aduser@domain.local: 17 (Failure setting user credentials)
6 月 6 日 11:12:17 測試登錄:FAILED LOGIN 1 FROM (null) FOR aduser@domain.local,身份驗證失敗
使用
getent passwd aduser
或getent group linuxgroup
返回成功。我試過這個 sssd.conf 文件:
[固態硬碟] config_file_version = 2 服務 = nss、pam 域 = domain.local 調試級別 = 5 [域/域.local] id_provider = 廣告 auth_provider = 廣告 ad_server = dc.domain.local default_shell = /bin/bash fallback_homedir = /home/%d/%u cache_credentials = false ldap_id_mapping = false
然後我閱讀了這個錯誤報告。因此,我將 sssd.conf 文件更改為:
[固態硬碟] config_file_version = 2 重新連接重試次數 = 2 服務 = nss,pam 調試級別 = 5 域 = domain.local [nss] 調試級別 = 5 [帕姆] 調試級別 = 5 [域/域.local] id_provider = ldap auth_provider = krb5 chpass_provider = krb5 調試級別 = 5 ldap_uri = ldap://dc.domain.local/ ldap_sasl_mech = GSSAPI ldap_schema = rfc2307bis ldap_user_search_base = dc=域,dc=本地 ldap_user_object_class = 使用者 ldap_user_home_directory = unixHomeDirectory ldap_user_principal = userPrincipalName ldap_group_search_base = dc=域,dc=本地 ldap_group_object_class = 組 ldap_access_order = 過期 ldap_account_expire_policy = 廣告 ldap_force_upper_case_realm = true ldap_referrals = 假 krb5_server = dc.domain.local krb5_realm = DOMAIN.LOCAL krb5_canonicalize = 假 列舉=假 cache_credentials = false
我已經清除了我的 SSSD 記憶體並重新啟動了服務。但是我無法登錄。
我現在在 /var/log/messages 中收到此錯誤:
6月6日 11:21:43 測試
$$ sssd[krb5_child[1546 $$]]: 沒有權限
我在 /var/log/sssd/krb5_child.log 中看到此錯誤:
(2015 年 6 月 6 日星期六 11:21:43)
$$ [sssd[krb5_child[1387 $$]]]$$ sss_get_ccache_name_for_principal $$(0x2000):krb5_cc_cache_match 失敗:$$ -1765328243 $$$$ Can’t find client principal aduser@DOMAIN.LOCAL in cache collection $$ (2015 年 6 月 6 日星期六 11:21:43)
$$ [sssd[krb5_child[1387 $$]]]$$ create_ccache $$(0x0020): 575:$$ 13 $$$$ Permission denied $$
現在,這就是它變得奇怪的地方。作為 root,如果我 su 到任何 AD 域使用者,它實際上可以工作並且主目錄是自動創建的。我即將認輸並堅持使用 2k8 DC。
如果沒有查看調試日誌,我無法給出更合格的答案
sssd
,但是您所指的錯誤報告僅具有性能影響,而不具有功能性。您能夠訪問
su
帳戶的原因root
是 PAM 堆棧通常包含pam_rootok.so
繞過身份驗證的模組pam_sss
。給定 auth fromroot
works,我們至少知道檢索身份資訊是有效的,但不是 auth。我建議在此處或 sssd-users 列表中為該問題添加更多資訊。最重要
sssd
的是,debug_level
從域部分和krb5_child.log
.請在 SSSD wiki 上的故障排除文件中找到更多資訊。