sssd: AD 사용자가 RHEL 7에 로그인할 수 없습니다.

sssd: AD 사용자가 RHEL 7에 로그인할 수 없습니다.

서버에서 su 명령을 사용하여 언급된 도메인 사용자로 전환할 수 있지만 ssh 로그인에 실패합니다. 사용자 도메인 그룹이 "simple_allow_groups" 아래의 sssd.conf 파일에 추가되었습니다.

/var/log/secure의 오류는 다음과 같습니다.

Jan 18 04:10:18 m1-vlp0006 sshd[6420]: pam_sss(sshd:auth): authentication success; logname= uid=0 euid=0 tty=ssh ruser= rhost=138.35.x.x user=postl\u522660
Jan 18 04:10:18 m1-vlp0006 sshd[6420]: pam_sss(sshd:account): Access denied for user postl\u522660: 6 (Permission denied)
Jan 18 04:10:18 m1-vlp0006 sshd[6420]: Failed password for postl\\u522660 from 138.35.x.x port 57903 ssh2
Jan 18 04:10:18 m1-vlp0006 sshd[6420]: fatal: Access denied for user postl\\\\u522660 by PAM account configuration [preauth]

알겠습니다. 비밀번호 실패라고 뜹니다. 그러나 실제로는 그렇지 않으며 이 도메인 사용자를 사용하여 다른 Windows 컴퓨터에 성공적으로 로그인할 수 있습니다. 여기에도 동일한 자격 증명을 입력했습니다. 따라서 내 입력 자격 증명은 정확하지만 왜 이렇게 표시되는지 잘 모르겠습니다. 또한 처음에는 인증이 성공했지만 결국 액세스가 거부되는 것을 볼 수 있습니다. 해당 사용자의 해당 그룹을 "simple_allow_groups"에 추가하는 것 외에 특정 AD 사용자 또는 그룹이 이 서버에 로그인할 수 있도록 허용하는 구성이 누락되어 있습니까?

구성은 다음과 같습니다.

[[email protected] ~]# realm list --all
POSTLl.xxxx.xxx
  type: kerberos
  realm-name: POSTL.xxxx.xxx
  domain-name: POSTL.xxxx.xxx
  configured: kerberos-member
  server-software: active-directory
  client-software: sssd
  required-package: oddjob
  required-package: oddjob-mkhomedir
  required-package: sssd
  required-package: adcli
  required-package: samba-common-tools
  login-formats: %[email protected]
  login-policy: allow-permitted-logins
  permitted-logins:
  permitted-groups: gu-adm-infra-unix-systems, gu-adm-esm%unix, gu-adm-epicon, domain%users

답변1

오늘 비슷한 문제가 발생했는데 이것이 어떻게 도움이 될지 모르겠습니다.

su를 사용하여(루트 로그인 후) 로그인할 수 있지만 ActiveDirectory 사용자를 사용하여 직접 ssh를 사용할 수는 없습니다.

온라인에서 몇 가지 기사를 찾아보고 SSSd 서비스를 다시 시작하자 작동이 시작되었습니다.

 systemctl restart  sssd

답변2

이는 Red Hat의 알려진 문제입니다. 이는 파일에서 한 줄만 누락된 것이며 /etc/sssd/sssd.confV6.4 Red Hat 릴리스에서 수정될 것으로 예상됩니다.

AD 서버에 액세스하는 데 사용되는 도메인 섹션에 다음 줄을 배치해야 합니다.

krb5_canonicalize = false

그러면 sssd를 다시 시작해야 합니다...

service sssd restart

답변3

실제로 Centos 8 NIS 환경에서도 같은 문제가 발생했는데, 다음 두 파일에서 주석 처리한 pam 모듈을 따라 kerberos 사용자 인증을 사용하여 로그인할 수 있었습니다. 아래 오류 로그로 인해 로그인 문제가 있는 사람들에게 도움이 될 수 있습니다.

Unix_chkpwd: 사용자 정보를 가져올 수 없습니다(user).
sshd[19550]: [user]의 IP 비밀번호가 실패했습니다.
치명적: PAM 계정 구성 [preauth]가 사용자 [user]에 대한 액세스를 거부합니다.
vi /etc/pam.d/password-auth



#충분한 인증 pam_unix.so nullo try_first_pass

#pam_unix.so 계정 필요


#비밀번호는 충분합니다. pam_unix.so sha512 섀도우
#pam_unix.so 세션이 필요합니다.

vi 시스템 검증


#충분한 인증 pam_unix.so nullok try_first_pass

#pam_unix.so 계정 필요
#비밀번호는 충분합니다. pam_unix.so sha512 Shadow nullok try_first_pass use_authtok

#pam_unix.so 세션이 필요합니다.

관련 정보