서버에서 su 명령을 사용하여 언급된 도메인 사용자로 전환할 수 있지만 ssh 로그인에 실패합니다. 사용자 도메인 그룹이 "simple_allow_groups" 아래의 sssd.conf 파일에 추가되었습니다.
/var/log/secure의 오류는 다음과 같습니다.
Jan 18 04:10:18 m1-vlp0006 sshd[6420]: pam_sss(sshd:auth): authentication success; logname= uid=0 euid=0 tty=ssh ruser= rhost=138.35.x.x user=postl\u522660
Jan 18 04:10:18 m1-vlp0006 sshd[6420]: pam_sss(sshd:account): Access denied for user postl\u522660: 6 (Permission denied)
Jan 18 04:10:18 m1-vlp0006 sshd[6420]: Failed password for postl\\u522660 from 138.35.x.x port 57903 ssh2
Jan 18 04:10:18 m1-vlp0006 sshd[6420]: fatal: Access denied for user postl\\\\u522660 by PAM account configuration [preauth]
알겠습니다. 비밀번호 실패라고 뜹니다. 그러나 실제로는 그렇지 않으며 이 도메인 사용자를 사용하여 다른 Windows 컴퓨터에 성공적으로 로그인할 수 있습니다. 여기에도 동일한 자격 증명을 입력했습니다. 따라서 내 입력 자격 증명은 정확하지만 왜 이렇게 표시되는지 잘 모르겠습니다. 또한 처음에는 인증이 성공했지만 결국 액세스가 거부되는 것을 볼 수 있습니다. 해당 사용자의 해당 그룹을 "simple_allow_groups"에 추가하는 것 외에 특정 AD 사용자 또는 그룹이 이 서버에 로그인할 수 있도록 허용하는 구성이 누락되어 있습니까?
구성은 다음과 같습니다.
[[email protected] ~]# realm list --all
POSTLl.xxxx.xxx
type: kerberos
realm-name: POSTL.xxxx.xxx
domain-name: POSTL.xxxx.xxx
configured: kerberos-member
server-software: active-directory
client-software: sssd
required-package: oddjob
required-package: oddjob-mkhomedir
required-package: sssd
required-package: adcli
required-package: samba-common-tools
login-formats: %[email protected]
login-policy: allow-permitted-logins
permitted-logins:
permitted-groups: gu-adm-infra-unix-systems, gu-adm-esm%unix, gu-adm-epicon, domain%users
답변1
오늘 비슷한 문제가 발생했는데 이것이 어떻게 도움이 될지 모르겠습니다.
su를 사용하여(루트 로그인 후) 로그인할 수 있지만 ActiveDirectory 사용자를 사용하여 직접 ssh를 사용할 수는 없습니다.
온라인에서 몇 가지 기사를 찾아보고 SSSd 서비스를 다시 시작하자 작동이 시작되었습니다.
systemctl restart sssd
답변2
이는 Red Hat의 알려진 문제입니다. 이는 파일에서 한 줄만 누락된 것이며 /etc/sssd/sssd.conf
V6.4 Red Hat 릴리스에서 수정될 것으로 예상됩니다.
AD 서버에 액세스하는 데 사용되는 도메인 섹션에 다음 줄을 배치해야 합니다.
krb5_canonicalize = false
그러면 sssd를 다시 시작해야 합니다...
service sssd restart
답변3
실제로 Centos 8 NIS 환경에서도 같은 문제가 발생했는데, 다음 두 파일에서 주석 처리한 pam 모듈을 따라 kerberos 사용자 인증을 사용하여 로그인할 수 있었습니다. 아래 오류 로그로 인해 로그인 문제가 있는 사람들에게 도움이 될 수 있습니다.
Unix_chkpwd: 사용자 정보를 가져올 수 없습니다(user). sshd[19550]: [user]의 IP 비밀번호가 실패했습니다. 치명적: PAM 계정 구성 [preauth]가 사용자 [user]에 대한 액세스를 거부합니다.
vi /etc/pam.d/password-auth #충분한 인증 pam_unix.so nullo try_first_pass #pam_unix.so 계정 필요 #비밀번호는 충분합니다. pam_unix.so sha512 섀도우 #pam_unix.so 세션이 필요합니다.
vi 시스템 검증 #충분한 인증 pam_unix.so nullok try_first_pass #pam_unix.so 계정 필요 #비밀번호는 충분합니다. pam_unix.so sha512 Shadow nullok try_first_pass use_authtok #pam_unix.so 세션이 필요합니다.