Active-Directory

使用 SSSD 進行 SSH 登錄 (Windows Server 2016)

  • April 4, 2017

我正在測試 SSSD RedHat 7.2 與 Windows Server 2016 (AD) 的集成。我想使用特定組 (allow_ssh_admin) 中的 AD 使用者通過 SSH 訪問。我已經配置了一些文件,我可以在 AD 中看到機器,但我無法使用 SSH 連接訪問。

配置

sssd.conf

[sssd]
domains = ad.domain.com
config_file_version = 2
services = nss, pam

[domain/ad.domain.com]
id_provider = ad
auth_provider = ad
access_provider = ad

default_shell = /bin/bash
fallback_homedir = /home/%d/%u

use_fully_qualified_names = True

# Uncomment if you want to use POSIX UIDs and GIDs set on the AD side
ldap_id_mapping = True

配置文件

[global]
       workgroup = AD
       security = ADS
       # WARNING: The setting 'security=ads' should NOT be combined with the 'password server' parameter.
       # password server = MACHINENAME.AD.DOMAIN.COM
       realm = AD.DOMAIN.COM

       log file = /var/log/samba/%m.log

       max log size = 50
       template shell = /bin/bash
       # 'winbind separator = +' might cause problems with group membership.
       # winbind separator = +
       winbind enum users = Yes
       winbind enum groups = Yes
       winbind use default domain = Yes
       template homedir = /home/%D/%U
       idmap config AD : schema_mode = rfc2307
       idmap config AD : range = 10000000-29999999
       idmap config AD : default = yes
       idmap config AD : backend = rid
       idmap config * : range = 20000-29999
       idmap config * : backend = tdb

nsswitch.conf

passwd:     files sss winbind
shadow:     files sss winbind
group:      files sss winbind
hosts:      files dns myhostname

bootparams: nisplus [NOTFOUND=return] files

ethers:     files
netmasks:   files
networks:   files
protocols:  files
rpc:        files
services:   files sss

netgroup:   files sss

publickey:  nisplus

automount:  files
aliases:    files nisplus

此外,我在 AD (allow_ssh_admin) 中創建了一個組,並為該組分配了一個使用者。我修改了 ssh conf 以允許訪問該組:

sshd_config

[...]
AllowGroups root DOMAIN\allow_ssh_admin

當我嘗試通過 ssh 訪問時…

login as: DOMAIN\User
DOMAIN\User@ip password:

我在安全日誌中遇到此錯誤:

Mar 27 05:21:13 machine sshd[20175]: User User from IP not allowed because none of user's groups are listed in AllowGroups
Mar 27 05:21:13 machine sshd[20175]: input_userauth_request: invalid user DOMAIN\\\\User [preauth]
Mar 27 05:21:23 machine sshd[20175]: pam_sss(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=IP user=DOMAIN\User
Mar 27 05:21:23 machine sshd[20175]: pam_sss(sshd:auth): received for user DOMAIN\User: 10 (User not known to the underlying authentication module)
Mar 27 05:21:23 machine sshd[20175]: Failed password for invalid user DOMAIN\\User from IP port 53406 ssh2

還有一件事。我可以看到機器加入了 AD 並且我可以作為 root 使用者訪問我可以使用wbinfo –domain-userswbinfo –domain-groups並且我得到使用者和組資訊所以……這很奇怪。

任何人都可以幫助我嗎?

非常感謝

問題是 Windows Server 2016 具有三個介面和三個不同的 IP。(10.xxx、125.xxx、192.xxx)。

它沒有任何 DNS 策略,因此如果它嘗試連接到伺服器,它會在我每次啟動 ping 時通過不同的介面回复。

主機三分之二無法訪問伺服器。

刪除與其他網路(125.xxx 和 192.xxx)相關的 DNS 條目有效,因為我想要來自 10.xxx 的響應

謝謝

引用自:https://serverfault.com/questions/840775