現在、Windows 2012 ADに認証するためのKerberos / SSSD / Sambaを搭載したサーバーがあります。
/etc/pam.d/system-auth
oddjob_mkhomedir で次のように設定します。
session optional pam_oddjob_mkhomedir.so umask=0077 skel=/etc/skel
これはを実行して設定されますauthconfig --enablesssdauth --enablesssd --enablemkhomedir --update
。
/bin/sh
ただし、ADアカウントを使用してSSH経由でログインすると、ホームディレクトリは作成されず、ユーザーは単に/bin/bash
。
エラーログには、sssd が期待どおりに実行されないか、PAM モジュールが呼び出されないことを示す内容はありません。
構成は次のようにコピーされます。
/etc/ssh/ssh_config
Port 22
ListenAddress x.x.x.x
Protocol 2
SyslogFacility AUTHPRIV
PermitRootLogin yes
PasswordAuthentication yes
ChallengeResponseAuthentication no
KerberosAuthentication yes
GSSAPIAuthentication yes
GSSAPICleanupCredentials yes
UsePAM yes
AcceptEnv LANG LC_CTYPE LC_NUMERIC LC_TIME LC_COLLATE LC_MONETARY LC_MESSAGES
AcceptEnv LC_PAPER LC_NAME LC_ADDRESS LC_TELEPHONE LC_MEASUREMENT
AcceptEnv LC_IDENTIFICATION LC_ALL LANGUAGE
AcceptEnv XMODIFIERS
X11Forwarding yes
Subsystem sftp /usr/libexec/openssh/sftp-server
/etc/sssd/sssd.conf
[sssd]
config_file_version = 2
debug_level = 7
domains = mydomain.co.uk
services = nss, pam
override_homedir = /home/%d/%u
default_shell = /bin/bash
[nss]
[pam]
[domain/mydomain.co.uk]
id_provider = ad
access_provider = ad
cache_credentials = true
debug_level = 7
答え1
将来のGoogleスタッフのために:私はRHEL7で非常によく似た問題に直面しました。
兆候:
authconfig
"--enablesssd --enablesssdauth --enablemkhomedir --update" で実行します。sssd
すでに(再)起動しましたoddjob-mkhomedir
インストールとoddjobd
(再)起動- LDAP ユーザーとしてログインしてもディレクトリは作成されません。
再起動すると、すべてが正常に戻ったことがわかりましたdbus
。奇妙なタスクが選択されていないDBusに何かを登録したようです。試してみる価値があると思います!
答え2
いくつか見てみましょう。
- is oddjobd running?
- any messages related to this or PAM in authlog, messages
- is SElinux enabled or enforced? check audit log for any AVC denial messages
override_homedir
sssd.confをもう一度見てください。そのセクションに進む必要があるかもしれませんDOMAIN
。それ以外の場合は、sssdがldapからホームディレクトリ情報を取得するようです。