正しいパスワードを使用しても、すべてのユーザーに対してSSHログインが失敗します。

正しいパスワードを使用しても、すべてのユーザーに対してSSHログインが失敗します。

だから広告されるRHELサーバーがあります。パスワードが正しい場合でもログインできません。

コンソールからログインできますが、rootとしてのみログインするとADアカウントは機能しません。ルートを使用してPuttyを介してログインすることはできず、コンソールを介してのみ機能します。 ADユーザーはコンソールからログインできず、ルートログインのみが有効です。

残念ながら、ログは役に立ちません。

SSH / PuttyアカウントとADアカウント(2段階アクティブ化)を介してアクセスしようとすると、接続していることを確認するためにDuoプロンプトが表示されます。 「あなたのパスワードは7日後に期限切れになります。」メッセージが表示され、ADでパスワードを更新しましたが、現在「あなたのパスワードは7日後に期限切れになりました」メッセージは表示されません。これは、サーバがADに到達し、AD情報を読み取ることができることを知らせる。 ADアカウントを使用してログインしようとしたときのテキストは次のとおりです。

パスワードまたはオプション(1-3):1キーボード対話型認証を使用します。成功。ログイン中...アクセスが拒否されました。

ルートとしてログインすると(つまり、ルートには2段階の設定はありません)、すぐにアクセス拒否状態になります。

SSSDキャッシュをクリアしてSSSD設定を確認した後、SSSD設定を問題なく、同じであった他のサーバーの1つと比較しました。

ルートはSSHログインも拒否されるため、この問題はADとは関係がないと思います。

どんな助けでも大変感謝します。

答え1

CentOSをADに接続し、sshでsssdを使用するときに頭を悩ませる3つのことがあります。

  1. あなたはpam_sss.soパスワードセクションに記載されていますか/etc/pam.d/password-auth?それとも別の名前で呼ばれますか/etc/pam.d/sshd? sshdはPAMを使用してパスワードを確認します。これは、PAMがAD認証と通信するように構成されていない場合、AD認証を使用するsssd機能を中断します。ssh

  2. /etc/security/access.confこのような行があるものはありますか-:ALL:ALL?を使用して、ユーザーを明示的に許可する必要がある+:USERNAME:ALLか、認証するすべての人を許可できます。+:ALL:ALL

    access.conf のマニュアルページでは、項目の形式とファイルのフィールドの意味に関するいくつかの有用な情報を提供します。

  3. ドメインセクションに/etc/sssd/sssd.conf認証用の行がありますかauth_provider = ad?例えば?


編集 2017-11-02 13:48

/etc/nsswitch.conf潜在的に問題がある別のファイルです。ssspasswd、Shadow、group、netgroup、automount、およびservicesのルックアップターゲットを設定したことを確認する必要があります。

passwd:     files sss
shadow:     files sss
group:      files sss
<snip>    
services:   files sss
netgroup:   files sss
<snip>
aoutomount: files sss

「Success...Access Denied」は、access.confに関連していると思うようにします。認証は通過しましたが、他の場所ではブロックされているのと同じです。それとも…OPがRed Hatだと言いました。 HBAC ルールが欠落している可能性があります。 SSSD文書に記載されている記憶はありません。

確認するRHサーバーがなく、ドメインに参加しているCentOSサーバーに対応するipaコマンドがありません。

答え2

非常に似たシナリオですが、根本的な原因は異なります。

sssd(LDAP用)を使用したログイン快適働く正しいパスワードを使用してSSD経由でログインしてください。SSH失敗する。拒否されるまで約8秒の遅延があります。

私の解決策は、サーバーにログインできるユーザーグループを制限するAllowGroups ssh-loginことでした。/etc/ssh/sshd_configそのグループのメンバーではないため、接続は許可されません。それがどのようにそれに至ったのか分かりません。 VM-peepsでサーバーを事前設定しました。たぶんこれはDebian 10のデフォルト設定です。たぶんIT部門がそこに置かれたかもしれません。

関連情報