sssd: AD 사용자 로그인 문제

sssd: AD 사용자 로그인 문제

sssd를 통해 중앙 AD 공급자로부터 계정 정보를 얻기 위해 samba4 DC를 설정했습니다. 지금 내가 원하는 것은 이러한 사용자 중 일부 하위 집합이 ssh(Linux 시스템) 또는 RDP(Windows 시스템)를 통해 로그인하도록 허용하는 것입니다.

AD 공급자를 사용하여 비밀번호 정보를 얻을 수 있습니다 getent passwd <name>. 불행하게도 여기에는 로컬에서 작동하지 않는 것 같은 매개변수가 포함되어 있습니다.

존도:*:53122:513:존도:\\nafs2\u204\johndo:212578

발생하는 오류는 /var/log/secure다음과 같습니다.

Jul 16 03:42:46 beanbag sshd[3303]: User johndoe not allowed because shell 212578 does not exist  
Jul 16 03:42:46 beanbag sshd[3304]: input_userauth_request: invalid user johndoe  
Jul 16 03:42:50 beanbag sshd[3303]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=server.edu  user=johndoe  
Jul 16 03:42:51 beanbag sshd[3303]: pam_sss(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=server.edu user=johndoe  
Jul 16 03:42:51 beanbag sshd[3303]: pam_sss(sshd:auth): received for user johndoe: 6 (Permission denied)  
Jul 16 03:42:53 beanbag sshd[3303]: Failed password for invalid user johndoe from 10.95.20.20 port 1714 ssh2

SSD(및 이와 유사한 것)를 설정할 때 어떤 단계를 놓쳤습니까?

CentOS 6.4(x64)

참고: 저는 이미 이것을 실행했습니다 authconfig --enablesssd --enablesssdauth --update.


편집: 이 문제의 첫 번째 부분인 '쉘이 존재하지 않습니다'를 수정했습니다.

수정 사항: /etc/sssd/sssd.conf[nss] 섹션에 다음 줄을 추가하세요.

allowed_shells = /bin/bash
shell_fallback = /bin/bash

이제 (잘못된) 홈 디렉토리 \\nafs2\u204\johndoe를 생성하려고 시도한 다음 "이 계정은 현재 사용할 수 없습니다"를 반환합니다. 실수.


편집: 도메인 목록의 항목을 사용하면 override_shell = /bin/bash (or whatever)위의 문제가 해결됩니다.

답변1

질문을 올바르게 이해했다면 사용자의 쉘을 지정해야 합니다.

존재하다Active Directory 사용자 및 컴퓨터, 사용자 계정을 마우스 오른쪽 버튼으로 클릭하고특성, 클릭유닉스 속성탭을 누르고 지정로그인 쉘좋다 /bin/bash.

이것유닉스 속성설치 후 탭 사용 가능UNIX 구성 요소에 대한 ID 관리역할 서비스는 다음에서 수행됩니다.서버 매니저. 이는 UID, GID, 로그인 셸 등과 같은 부분적으로 호환되는 RFC 2307 UNIX 특성 집합을 포함하는 확장된 스키마를 제공합니다.

sssd또한 사용자가 올바른 로그인 그룹에 속하지 않은 것처럼 일종의 구성 문제가 있는 것 같습니다 . 시도해 볼 수도 있겠네요sssd 사용자 메일링 리스트전문가의 심층적인 도움을 받으세요. 그들은 지식이 풍부하고 친근한 그룹입니다.

답변2

이는 의 시간 초과로 인해 발생할 수 있습니다 krb5 auth. 이는 다음 줄을 추가하여 수정할 수 있습니다 sssd.conf.

krb5_auth_timeout = 60

여기서 60은 필요한 시간입니다.

답변3

아쉽게도 AD를 바꿔야 할 것 같습니다.

AD 계정의 Unix 섹션에는 "로그인 셸" 옵션이 있으며, 이를 /bin/bash 또는 다른 셸로 설정해야 합니다. "Unix 활성화" 상자를 선택해야 할 수도 있습니다.

방금 이 문제를 해결했는데, 한 명의 사용자에게만 해당 문제가 발생했습니다.

관련 정보