올바른 비밀번호를 사용해도 모든 사용자에 대해 SSH 로그인이 실패합니다.

Question 1

CentOS를 AD에 연결하고 ssh와 함께 sssd를 사용할 때 머리에 괴로움을 주는 세 가지 사항은 다음과 같습니다.

귀하는 pam_sss.so비밀번호 섹션에 기재되어 있습니까 /etc/pam.d/password-auth? 아니면 다른 이름으로 불리우십니까 /etc/pam.d/sshd? sshd는 PAM을 사용하여 비밀번호를 확인합니다. 이는 PAM이 AD 인증과 통신하도록 구성되지 않은 경우 AD 인증을 사용하는 sssd기능을 중단합니다.ssh
/etc/security/access.conf이와 같은 줄이 있는 것이 있습니까 -:ALL:ALL? 를 사용하여 사용자를 명시적으로 허용해야 +:USERNAME:ALL하거나 인증하는 모든 사람을 허용할 수 있습니다.+:ALL:ALL

access.conf 매뉴얼 페이지는 항목 형식과 파일의 필드 의미에 대한 몇 가지 유용한 정보를 제공합니다.
도메인 섹션에 /etc/sssd/sssd.conf인증을 위한 행이 있습니까 auth_provider = ad? 예를 들어 ?

편집 2017-11-02 13:48

/etc/nsswitch.conf잠재적으로 문제가 있는 또 다른 파일입니다. ssspasswd, Shadow, group, netgroup, automount 및 services에 대한 조회 대상을 구성했는지 확인해야 합니다 .

passwd:     files sss
shadow:     files sss
group:      files sss
<snip>    
services:   files sss
netgroup:   files sss
<snip>
aoutomount: files sss

"Success...Access Denied"는 access.conf와 관련이 있다고 생각하게 만듭니다. 인증이 통과되었지만 다른 곳에서는 차단된 것과 같습니다. 아니면... OP가 Red Hat이라고 말하더군요. HBAC 규칙이 누락되었을 수 있습니다. SSSD 문서에서 언급된 기억이 없습니다.

확인할 RH 서버가 없고, 도메인에 가입된 CentOS 서버에 해당 ipa명령이 없습니다.

Answer

CentOS를 AD에 연결하고 ssh와 함께 sssd를 사용할 때 머리에 괴로움을 주는 세 가지 사항은 다음과 같습니다.

귀하는 pam_sss.so비밀번호 섹션에 기재되어 있습니까 /etc/pam.d/password-auth? 아니면 다른 이름으로 불리우십니까 /etc/pam.d/sshd? sshd는 PAM을 사용하여 비밀번호를 확인합니다. 이는 PAM이 AD 인증과 통신하도록 구성되지 않은 경우 AD 인증을 사용하는 sssd기능을 중단합니다.ssh
/etc/security/access.conf이와 같은 줄이 있는 것이 있습니까 -:ALL:ALL? 를 사용하여 사용자를 명시적으로 허용해야 +:USERNAME:ALL하거나 인증하는 모든 사람을 허용할 수 있습니다.+:ALL:ALL

access.conf 매뉴얼 페이지는 항목 형식과 파일의 필드 의미에 대한 몇 가지 유용한 정보를 제공합니다.
도메인 섹션에 /etc/sssd/sssd.conf인증을 위한 행이 있습니까 auth_provider = ad? 예를 들어 ?

편집 2017-11-02 13:48

/etc/nsswitch.conf잠재적으로 문제가 있는 또 다른 파일입니다. ssspasswd, Shadow, group, netgroup, automount 및 services에 대한 조회 대상을 구성했는지 확인해야 합니다 .

passwd:     files sss
shadow:     files sss
group:      files sss
<snip>    
services:   files sss
netgroup:   files sss
<snip>
aoutomount: files sss

"Success...Access Denied"는 access.conf와 관련이 있다고 생각하게 만듭니다. 인증이 통과되었지만 다른 곳에서는 차단된 것과 같습니다. 아니면... OP가 Red Hat이라고 말하더군요. HBAC 규칙이 누락되었을 수 있습니다. SSSD 문서에서 언급된 기억이 없습니다.

확인할 RH 서버가 없고, 도메인에 가입된 CentOS 서버에 해당 ipa명령이 없습니다.

Question 2

매우 유사한 시나리오이지만 근본 원인은 다릅니다.

sssd(LDAP용)를 사용하여 로그인편안일하다. 올바른 비밀번호를 사용하여 SSD를 통해 로그인하세요.SSH실패하다. 거부될 때까지 약 8초의 지연이 있습니다.

내 해결책은 서버에 로그인할 수 있는 사용자 그룹을 제한 AllowGroups ssh-login하는 것이었습니다. /etc/ssh/sshd_config해당 그룹의 구성원이 아니기 때문에 접속이 허용되지 않습니다. 그것이 어떻게 거기에 이르렀는지 전혀 모릅니다. VM-peeps에서 서버를 사전 구성했습니다. 어쩌면 이것이 Debian 10의 기본 설정일 수도 있습니다. 어쩌면 IT 부서가 거기에 넣었을 수도 있습니다.

Answer

매우 유사한 시나리오이지만 근본 원인은 다릅니다.

sssd(LDAP용)를 사용하여 로그인편안일하다. 올바른 비밀번호를 사용하여 SSD를 통해 로그인하세요.SSH실패하다. 거부될 때까지 약 8초의 지연이 있습니다.

내 해결책은 서버에 로그인할 수 있는 사용자 그룹을 제한 AllowGroups ssh-login하는 것이었습니다. /etc/ssh/sshd_config해당 그룹의 구성원이 아니기 때문에 접속이 허용되지 않습니다. 그것이 어떻게 거기에 이르렀는지 전혀 모릅니다. VM-peeps에서 서버를 사전 구성했습니다. 어쩌면 이것이 Debian 10의 기본 설정일 수도 있습니다. 어쩌면 IT 부서가 거기에 넣었을 수도 있습니다.

올바른 비밀번호를 사용해도 모든 사용자에 대해 SSH 로그인이 실패합니다.

답변1

답변2

관련 정보