サーバーでは、suコマンドを使用して上記のドメインユーザーに切り替えることができますが、sshログインは失敗します。ユーザードメイングループが "simple_allow_groups"の下のsssd.confファイルに追加されました。
/var/log/secure のエラーは次のとおりです。
Jan 18 04:10:18 m1-vlp0006 sshd[6420]: pam_sss(sshd:auth): authentication success; logname= uid=0 euid=0 tty=ssh ruser= rhost=138.35.x.x user=postl\u522660
Jan 18 04:10:18 m1-vlp0006 sshd[6420]: pam_sss(sshd:account): Access denied for user postl\u522660: 6 (Permission denied)
Jan 18 04:10:18 m1-vlp0006 sshd[6420]: Failed password for postl\\u522660 from 138.35.x.x port 57903 ssh2
Jan 18 04:10:18 m1-vlp0006 sshd[6420]: fatal: Access denied for user postl\\\\u522660 by PAM account configuration [preauth]
わかりました。パスワード失敗と呼ばれます。ただし、実際にはそうではなく、このドメインユーザーを使用して他のWindowsコンピュータに正常にログインできます。ここでも同じ資格情報を入力しました。したがって、私の入力資格情報は正確ですが、なぜこれが表示されるのかわかりません。また、最初は認証は成功しましたが、最終的にアクセスが拒否されることがわかります。そのユーザーのグループを "simple_allow_groups"に追加する以外に、特定のADユーザーまたはグループがこのサーバーにログインできるようにする構成がありませんか?
構成は次のとおりです。
[[email protected] ~]# realm list --all
POSTLl.xxxx.xxx
type: kerberos
realm-name: POSTL.xxxx.xxx
domain-name: POSTL.xxxx.xxx
configured: kerberos-member
server-software: active-directory
client-software: sssd
required-package: oddjob
required-package: oddjob-mkhomedir
required-package: sssd
required-package: adcli
required-package: samba-common-tools
login-formats: %[email protected]
login-policy: allow-permitted-logins
permitted-logins:
permitted-groups: gu-adm-infra-unix-systems, gu-adm-esm%unix, gu-adm-epicon, domain%users
答え1
今日も同様の問題が発生しましたが、これがどのように役立つのかわかりません。
suを使用して(rootログイン後)にログインできますが、ActiveDirectoryユーザーを使用して直接sshを使用することはできません。
オンラインでいくつかの記事を閲覧し、SSSdサービスを再起動すると、動作が開始されました。
systemctl restart sssd
答え2
これはRed Hatの既知の問題です。これはファイルから1行だけ欠落しており、/etc/sssd/sssd.confV6.4 Red Hatリリースで修正される予定です。
ADサーバーへのアクセスに使用されるドメインセクションに次の行を配置する必要があります。
krb5_canonicalize = false
その後、sssdを再起動する必要があります...
service sssd restart
答え3
実際には、Centos 8 NIS環境でも同じ問題が発生しました。以下のエラーログは、ログインに問題がある人に役立ちます。
Unix_chkpwd:ユーザー情報を取得できません(ユーザー)。 sshd[19550]: [user] の IP パスワードが失敗しました。 致命的:PAMアカウントの設定[preauth]はユーザー[user]へのアクセスを拒否します。
vi /etc/pam.d/password-auth #十分な認証 pam_unix.so nullo try_first_pass #pam_unix.so アカウントが必要 #パスワードは十分です。 pam_unix.so sha512 シャドウ #pam_unix.so セッションが必要です。
vi システム検証 #十分な認証 pam_unix.so nullok try_first_pass #pam_unix.so アカウントが必要 #パスワードは十分です。 pam_unix.so sha512 Shadow nullok try_first_pass use_authtok #pam_unix.so セッションが必要です。