Active-Directory
使用 SSSD 進行 SSH 登錄 (Windows Server 2016)
我正在測試 SSSD RedHat 7.2 與 Windows Server 2016 (AD) 的集成。我想使用特定組 (allow_ssh_admin) 中的 AD 使用者通過 SSH 訪問。我已經配置了一些文件,我可以在 AD 中看到機器,但我無法使用 SSH 連接訪問。
配置
sssd.conf
[sssd] domains = ad.domain.com config_file_version = 2 services = nss, pam [domain/ad.domain.com] id_provider = ad auth_provider = ad access_provider = ad default_shell = /bin/bash fallback_homedir = /home/%d/%u use_fully_qualified_names = True # Uncomment if you want to use POSIX UIDs and GIDs set on the AD side ldap_id_mapping = True
配置文件
[global] workgroup = AD security = ADS # WARNING: The setting 'security=ads' should NOT be combined with the 'password server' parameter. # password server = MACHINENAME.AD.DOMAIN.COM realm = AD.DOMAIN.COM log file = /var/log/samba/%m.log max log size = 50 template shell = /bin/bash # 'winbind separator = +' might cause problems with group membership. # winbind separator = + winbind enum users = Yes winbind enum groups = Yes winbind use default domain = Yes template homedir = /home/%D/%U idmap config AD : schema_mode = rfc2307 idmap config AD : range = 10000000-29999999 idmap config AD : default = yes idmap config AD : backend = rid idmap config * : range = 20000-29999 idmap config * : backend = tdb
nsswitch.conf
passwd: files sss winbind shadow: files sss winbind group: files sss winbind hosts: files dns myhostname bootparams: nisplus [NOTFOUND=return] files ethers: files netmasks: files networks: files protocols: files rpc: files services: files sss netgroup: files sss publickey: nisplus automount: files aliases: files nisplus
此外,我在 AD (allow_ssh_admin) 中創建了一個組,並為該組分配了一個使用者。我修改了 ssh conf 以允許訪問該組:
sshd_config
[...] AllowGroups root DOMAIN\allow_ssh_admin
當我嘗試通過 ssh 訪問時…
login as: DOMAIN\User DOMAIN\User@ip password:
我在安全日誌中遇到此錯誤:
Mar 27 05:21:13 machine sshd[20175]: User User from IP not allowed because none of user's groups are listed in AllowGroups Mar 27 05:21:13 machine sshd[20175]: input_userauth_request: invalid user DOMAIN\\\\User [preauth] Mar 27 05:21:23 machine sshd[20175]: pam_sss(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=IP user=DOMAIN\User Mar 27 05:21:23 machine sshd[20175]: pam_sss(sshd:auth): received for user DOMAIN\User: 10 (User not known to the underlying authentication module) Mar 27 05:21:23 machine sshd[20175]: Failed password for invalid user DOMAIN\\User from IP port 53406 ssh2
還有一件事。我可以看到機器加入了 AD 並且我可以作為 root 使用者訪問我可以使用wbinfo –domain-users和wbinfo –domain-groups並且我得到使用者和組資訊所以……這很奇怪。
任何人都可以幫助我嗎?
非常感謝
問題是 Windows Server 2016 具有三個介面和三個不同的 IP。(10.xxx、125.xxx、192.xxx)。
它沒有任何 DNS 策略,因此如果它嘗試連接到伺服器,它會在我每次啟動 ping 時通過不同的介面回复。
主機三分之二無法訪問伺服器。
刪除與其他網路(125.xxx 和 192.xxx)相關的 DNS 條目有效,因為我想要來自 10.xxx 的響應
謝謝