SSH経由でKerberosを使用してログインすると、奇妙なタスク_mkhomedirは実行されません。

SSH経由でKerberosを使用してログインすると、奇妙なタスク_mkhomedirは実行されません。

現在、Windows 2012 ADに認証するためのKerberos / SSSD / Sambaを搭載したサーバーがあります。

/etc/pam.d/system-authoddjob_mkhomedir で次のように設定します。

session     optional      pam_oddjob_mkhomedir.so umask=0077 skel=/etc/skel

これはを実行して設定されますauthconfig --enablesssdauth --enablesssd --enablemkhomedir --update

/bin/shただし、ADアカウントを使用してSSH経由でログインすると、ホームディレクトリは作成されず、ユーザーは単に/bin/bash

エラーログには、sssd が期待どおりに実行されないか、PAM モジュールが呼び出されないことを示す内容はありません。

構成は次のようにコピーされます。

/etc/ssh/ssh_config

Port 22
ListenAddress x.x.x.x
Protocol 2
SyslogFacility AUTHPRIV
PermitRootLogin yes
PasswordAuthentication yes
ChallengeResponseAuthentication no
KerberosAuthentication yes
GSSAPIAuthentication yes
GSSAPICleanupCredentials yes
UsePAM yes
AcceptEnv LANG LC_CTYPE LC_NUMERIC LC_TIME LC_COLLATE LC_MONETARY LC_MESSAGES
AcceptEnv LC_PAPER LC_NAME LC_ADDRESS LC_TELEPHONE LC_MEASUREMENT
AcceptEnv LC_IDENTIFICATION LC_ALL LANGUAGE
AcceptEnv XMODIFIERS
X11Forwarding yes
Subsystem       sftp    /usr/libexec/openssh/sftp-server

/etc/sssd/sssd.conf

[sssd]
config_file_version = 2
debug_level = 7
domains = mydomain.co.uk
services = nss, pam

override_homedir = /home/%d/%u
default_shell = /bin/bash

[nss]

[pam]

[domain/mydomain.co.uk]
id_provider = ad
access_provider = ad
cache_credentials = true
debug_level = 7

答え1

将来のGoogleスタッフのために:私はRHEL7で非常によく似た問題に直面しました。

兆候:

  • authconfig"--enablesssd --enablesssdauth --enablemkhomedir --update" で実行します。
  • sssdすでに(再)起動しました
  • oddjob-mkhomedirインストールとoddjobd(再)起動
  • LDAP ユーザーとしてログインしてもディレクトリは作成されません。

再起動すると、すべてが正常に戻ったことがわかりましたdbus。奇妙なタスクが選択されていないDBusに何かを登録したようです。試してみる価値があると思います!

答え2

いくつか見てみましょう。

  - is oddjobd running?
  - any messages related to this or PAM in authlog, messages
  - is SElinux enabled or enforced? check audit log for any AVC denial messages

override_homedirsssd.confをもう一度見てください。そのセクションに進む必要があるかもしれませんDOMAIN。それ以外の場合は、sssdがldapからホームディレクトリ情報を取得するようです。

関連情報