sssd

fedora - LDAP資格情報を使用してコックピットWeb GUIにログインする
sssd

fedora - LDAP資格情報を使用してコックピットWeb GUIにログインする

Fedora 39サーバーは、LDAPユーザーが特定のLDAPグループのメンバーである場合にログインを許可するように構成されています。 sudoersファイルにも同じldapグループがあるため、ユーザーはログイン後にsudoを実行できます(パスワードなしのsudoを許可するように設定)。 ldap 構成は sssd.conf ファイルに設定されます。 SSHログインすべてがうまく動作します。 私の問題は、SSHを介してログインできるユーザーがコックピットWeb GUIにログインできないことです。 「許可拒否」エラーが発生します。 コックピットにログインするた...

Admin

nscd アクティブライブ時間を長く設定する際のリスクを理解する
sssd

nscd アクティブライブ時間を長く設定する際のリスクを理解する

私が述べたように他のスレッド、私は24のLinuxサーバーをサポートするLDAPシステムを持っています。さまざまな理由で(ファイアウォールルールの変更、停電など)LDAPサーバーが停止すると、システムの残りの部分も停止します。 私はいくつかの冗長性を構築しようとしましたが、ローカルキャッシュログインの使用に関するこの記事を誤って発見しましnscdたsssd。 私のすべてのサーバーにはnscdがインストールされており、次の設定があります。 enable-cache passwd yes positive-time-to-live...

Admin

Ubuntu、Realmdを使用してTLS / SSLを介してADに参加できない
sssd

Ubuntu、Realmdを使用してTLS / SSLを介してADに参加できない

実際、ADを介してLinuxホストを認証するためにUbuntuホストとActive Directoryの間に接続を確立しようとしています。 これにはSSSDとRealmdを使用しますが、ADSysは使用しません。私たちはディストリビューションとは独立して作業したいと思います。 だから私はあなたに2つのコマンドを与えます。これは有効なコマンドです。 sudo realm join domain.de --user linuxad --computer-name linux006 --computer-ou "OU=Linux,OU=domain,DC=de" ...

Admin

UbuntuのLDAPユーザーのSSHは、「UID Xのユーザーなし」のため失敗します。
sssd

UbuntuのLDAPユーザーのSSHは、「UID Xのユーザーなし」のため失敗します。

Windows ADに接続されたUbuntuノートブックがあります。 SSH(たとえば)を使用してサーバーに接続し、ssh 192.168.1.1LDAPアカウントを使用してログインするとエラーが発生します。 No user exits for uid 213321 ローカルアカウント(など)を使用すると、SSHログインが正しく機能しますroot。 SSHを再インストールして再構成しようとしましたが、sssd成功しませんでした。 ...

Admin

SSSD サービス override_homedir が無効な権限でホームディレクトリの作成をトリガーするのはなぜですか?
sssd

SSSD サービス override_homedir が無効な権限でホームディレクトリの作成をトリガーするのはなぜですか?

サーバー上のユーザーのホームディレクトリを認証および生成するために、LDAP統合用に構成されたSSSD v2.6.3を使用するUbuntu Jammyサーバーにベンダーアプリケーションがインストールされています。 sssd.conf 構成に存在します。 [sssd] config_file_version=2 reconnection_retries=3 services=nss,pam domains=mydomain.com [nss] ... [pam] ... [domain/mydomain.com] ... ldap configurati...

Admin

Cloudinitスクリプトを使用して設定中にドメイン名が削除されるのはなぜですか?
sssd

Cloudinitスクリプトを使用して設定中にドメイン名が削除されるのはなぜですか?

Cloud-Initスクリプトを使用してUbuntu 22.04サーバーを設定しています。 ただし、Active Directoryに参加するためにログを確認すると、サブドメインは削除されます。なぜですか? IPアドレスを介してのみリモート接続でき、デバイスに登録されているホスト名またはサブドメイン名を介して接続できませんか? 私もスクリプトを hostname: "testmachine" # <-- fqdn: "testmachine.mrsomething.mr" # <-- write_files: - path: /h...

Admin

krb5.keytabエントリのサービスタイプは大文字でなければなりません。
sssd

krb5.keytabエントリのサービスタイプは大文字でなければなりません。

LinuxサーバーをActive Directoryドメインに参加させるときに自動的に生成されるkeytabエントリに問題があります。まず、私のプロセスについて話しましょう。 必須Linuxパッケージのインストールyum install realmd pam sssd adcli oddjob oddjob-mkhomedir samba-common-tools krb5-workstation Active Directoryでコンピュータオブジェクトを作成し、関連SPNエントリ(servicePrincipalName)を追加します。 ドメイン登録の...

Admin

WindowsクライアントでKerberosを使用するSSH
sssd

WindowsクライアントでKerberosを使用するSSH

SSSDを使用してActive Directoryに参加したUbuntu 22.04 LTSシステムがあります。すべてが大丈夫です。 ADユーザーを使用してLinuxサーバーにログインでき、ユーザーはログイン時にKerberosチケットなどを受け取ります。 クライアントがKerberosを使用してこのシステムにSSHで接続できるようにして、ログイン時にパスワードを入力する必要がないようにしたいと思います。 Ubuntuサーバーで、次のように/etc/ssh/sshd_configを編集しました。 GSSAPIAuthentication yes sshd ...

Admin

OpenSSH経由で認証し、1つのチケットサービス(Kerberos TGSホスト/fqdn)のみを使用してsudoを実行する方法
sssd

OpenSSH経由で認証し、1つのチケットサービス(Kerberos TGSホスト/fqdn)のみを使用してsudoを実行する方法

これまで、私たちはすべてのサーバー(Debian 10〜12)でOpenSSH GSSAPI認証を使用していました。次に sudo -i を使用し、sssd-ldap で LDAP 認証を使用します。 OpenSSHとSudoの両方でLDAP認証を削除し、GSSAPIにのみ依存したいと思います。アイデアは、チケットサービスをOpenssh(host / fqdn)に渡し、資格情報キャッシュ(通常/tmp/krb5 ...)に保存し、TGSを維持してsudoを認証することです(GSSAPIでsudoを認証するためにpam_sss_gss .soを見つけました)...

Admin

pam_sss(sudo: 認証): 不明なオプション: 最小_uid: 6000
sssd

pam_sss(sudo: 認証): 不明なオプション: 最小_uid: 6000

最近、Rhel7設定をRhel9設定に変換しようとしました。設定ファイルにはauthselectいくつかの問題があります。system-auth Rhel7の場合は、以下を使用しました。 auth sufficient 'pam_ldap.so' minimum_uid=6000 use_first_pass Rhel9の場合は、次のことを試しました。 auth sufficient 'pam_sss.so' minimum_uid=6000 use_first_pass ただし、Rhel9の場合、アプリケーションで次のエラーが発生します。/var/log/...

Admin

SSSDを使用してRhel7からRhel9システム認証に切り替える
sssd

SSSDを使用してRhel7からRhel9システム認証に切り替える

今、私はRHEL7からRHEL9に切り替えることにしましたが、/etc/pam.d/system-auth以前はRhel7などを設定しましたが、私の理解が正しい場合はauthselectRHEL9で最もうまくいきます。これが間違っている場合は訂正してください。/etc/sssd/sssd.conf それともまだ可能ですか? ...

Admin

AD/LDAP パスワードを使用するように Sudo を構成する
sssd

AD/LDAP パスワードを使用するように Sudo を構成する

WheelグループのユーザーがLDAPパスワードを使用してSudoに認証されるように、仮想マシン(RHEL 8)構成の妥当性を調べます。 これまでに私がしたことは、LDAP認証用にsssdを設定し、それをsudoersに追加したことです。 Defaults !targetpw これにより、意図した機能が得られますが、残念ながら許容される機能もあります。どのVMにログインするために使用されるLDAPユーザー(CA署名SSH証明書を使用)ローカルアカウントを持つユーザーのみを許可したいと思います。 /etc/pam.d/sshdローカルユーザーを親に要求するよう...

Admin

AD統合を使用してrdxpを設定しようとしたときにpam_unixエラーが発生する
sssd

AD統合を使用してrdxpを設定しようとしたときにpam_unixエラーが発生する

問題:インストールされているRealm、SSSD、およびSSHはすべてのユーザーに対して機能しますが、xrdpを使用してリモートデスクトップを試みると、次のエラーで失敗します。 Aug 30 00:00:00 PC-NAME xrdp-sesman[220997]: pam_unix(xrdp-sesman:auth): authentication failure; logname= uid=0 euid=0 tty=xrdp-sesman ruser= rhost= user=username Aug 30 00:00:00 PC-NAME xrdp-...

Admin

ユーザーアカウント、対応するgidNumber、および同じgidNumberを持つ対応するグループのSSSD要件
sssd

ユーザーアカウント、対応するgidNumber、および同じgidNumberを持つ対応するグループのSSSD要件

LDAP ユーザー "Alice" の gidNumber が 12345 で、gidNumber が 12345 の LDAP グループがない場合、ユーザーの sssd (System Security Services Daemon) とファイルシステム権限にはどのような影響がありますか? NetAppとMicrosoftは、デュアルプロトコルNFSボリュームの場合、ユーザーアカウントにgidNumberが必要であり、gidNumberはsssdを介してグループとして解決できる必要があると述べました。私のグループが理解していないのは、グループが実際に使用...

Admin