Não é possível fazer o login com o SSH após configurar a autenticação LDAP

Question

Não é possível fazer o login com o SSH após configurar a autenticação LDAP

#1 resposta do (5 votos)
#2 resposta do (0 votos)

3

Eu tenho um servidor CoreOS que eu conectei ao meu servidor LDAP. Eu recebo uma resposta correta depois de usar os comandos id e ldapsearch . No entanto, ainda não consigo fazer login com o SSH.

Eu posso ver no arquivo sssd_LDAP.log que o servidor recebeu a solicitação para efetuar login com o usuário (my_user), mas a solicitação foi rejeitada.

tail -f /var/log/sssd/sssd_LDAP.log

(Sun Nov 13 15:06:29 2016) [sssd[be[LDAP]]] [acctinfo_callback] (0x0100): Request processed. Returned 0,0,Success (Success)
(Sun Nov 13 15:06:49 2016) [sssd[be[LDAP]]] [be_get_account_info] (0x0200): Got request for [0x1003][FAST BE_REQ_INITGROUPS][1][name=etcd]
(Sun Nov 13 15:06:49 2016) [sssd[be[LDAP]]] [sysdb_get_real_name] (0x0040): Cannot find user [etcd] in cache
(Sun Nov 13 15:06:49 2016) [sssd[be[LDAP]]] [acctinfo_callback] (0x0100): Request processed. Returned 0,0,Success (Success)
(Sun Nov 13 15:07:10 2016) [sssd[be[LDAP]]] [be_get_account_info] (0x0200): Got request for [0x1003][FAST BE_REQ_INITGROUPS][1][name=etcd]
(Sun Nov 13 15:07:10 2016) [sssd[be[LDAP]]] [sysdb_get_real_name] (0x0040): Cannot find user [etcd] in cache
(Sun Nov 13 15:07:10 2016) [sssd[be[LDAP]]] [acctinfo_callback] (0x0100): Request processed. Returned 0,0,Success (Success)
(Sun Nov 13 15:07:30 2016) [sssd[be[LDAP]]] [be_get_account_info] (0x0200): Got request for [0x1003][FAST BE_REQ_INITGROUPS][1][name=etcd]
(Sun Nov 13 15:07:30 2016) [sssd[be[LDAP]]] [sysdb_get_real_name] (0x0040): Cannot find user [etcd] in cache
(Sun Nov 13 15:07:30 2016) [sssd[be[LDAP]]] [acctinfo_callback] (0x0100): Request processed. Returned 0,0,Success (Success)
(Sun Nov 13 15:07:51 2016) [sssd[be[LDAP]]] [be_get_account_info] (0x0200): Got request for [0x1003][FAST BE_REQ_INITGROUPS][1][name=etcd]
(Sun Nov 13 15:07:51 2016) [sssd[be[LDAP]]] [sysdb_get_real_name] (0x0040): Cannot find user [etcd] in cache
(Sun Nov 13 15:07:51 2016) [sssd[be[LDAP]]] [acctinfo_callback] (0x0100): Request processed. Returned 0,0,Success (Success)
(Sun Nov 13 15:07:51 2016) [sssd[be[LDAP]]] [be_get_account_info] (0x0200): Got request for [0x3][BE_REQ_INITGROUPS][1][name=my_user]
(Sun Nov 13 15:07:51 2016) [sssd[be[LDAP]]] [sdap_initgr_nested_send] (0x0100): User entry lacks original memberof ?
(Sun Nov 13 15:07:51 2016) [sssd[be[LDAP]]] [acctinfo_callback] (0x0100): Request processed. Returned 0,0,Success (Success)
(Sun Nov 13 15:07:51 2016) [sssd[be[LDAP]]] [be_pam_handler] (0x0100): Got request with the following data
(Sun Nov 13 15:07:51 2016) [sssd[be[LDAP]]] [pam_print_data] (0x0100): command: SSS_PAM_AUTHENTICATE
(Sun Nov 13 15:07:51 2016) [sssd[be[LDAP]]] [pam_print_data] (0x0100): domain: LDAP
(Sun Nov 13 15:07:51 2016) [sssd[be[LDAP]]] [pam_print_data] (0x0100): user: my_user
(Sun Nov 13 15:07:51 2016) [sssd[be[LDAP]]] [pam_print_data] (0x0100): service: sshd
(Sun Nov 13 15:07:51 2016) [sssd[be[LDAP]]] [pam_print_data] (0x0100): tty: ssh
(Sun Nov 13 15:07:51 2016) [sssd[be[LDAP]]] [pam_print_data] (0x0100): ruser: 
(Sun Nov 13 15:07:51 2016) [sssd[be[LDAP]]] [pam_print_data] (0x0100): rhost: x.x.x.x
(Sun Nov 13 15:07:51 2016) [sssd[be[LDAP]]] [pam_print_data] (0x0100): authtok type: 0
(Sun Nov 13 15:07:51 2016) [sssd[be[LDAP]]] [pam_print_data] (0x0100): newauthtok type: 0
(Sun Nov 13 15:07:51 2016) [sssd[be[LDAP]]] [pam_print_data] (0x0100): priv: 1
(Sun Nov 13 15:07:51 2016) [sssd[be[LDAP]]] [pam_print_data] (0x0100): cli_pid: 21280
(Sun Nov 13 15:07:51 2016) [sssd[be[LDAP]]] [pam_print_data] (0x0100): logon name: not set
(Sun Nov 13 15:07:51 2016) [sssd[be[LDAP]]] [be_pam_handler_callback] (0x0100): Backend returned: (0, 7, <NULL>) [Success (Authentication failure)]
(Sun Nov 13 15:07:51 2016) [sssd[be[LDAP]]] [be_pam_handler_callback] (0x0100): Sending result [7][LDAP]

Alguém sabe qual é o problema?

Update : Eu deletei os arquivos de configuração em / etc, pois a configuração padrão do PAM em / usr habilita o sssd.

Aqui estão os erros atuais:

Dec 12 09:33:07 localhost sshd[3298]: pam_sss(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=x.x.x.x user=my_user
Dec 12 09:33:07 localhost sshd[3298]: pam_sss(sshd:auth): received for user my_user: 7 (Authentication failure)
Dec 12 09:33:11 localhost sshd[3298]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=x.x.x.x  user=my_user
Dec 12 09:33:14 localhost sshd[3296]: PAM: Authentication failure for my_user from x.x.x.x

Aqui está a configuração atual:

cat system-auth

    auth        required    pam_env.so
    auth        sufficient  pam_sss.so use_first_pass
    auth        sufficient  pam_unix.so try_first_pass likeauth nullok
    auth        required    pam_deny.so

    account     required    pam_unix.so
    # Don't fail if the user is unknown to sssd or if sssd isn't running
    account     required    pam_sss.so ignore_unknown_user ignore_authinfo_unavail
    account     optional    pam_permit.so

    password    sufficient  pam_unix.so try_first_pass  nullok sha512 shadow
    password    sufficient  pam_sss.so use_authtok
    password    required    pam_deny.so

    session     required    pam_limits.so
    session     required    pam_env.so
    session     required    pam_unix.so
    session     optional    pam_permit.so
    session     optional    pam_sss.so
    -session        optional        pam_systemd.so

cat sshd

auth       include  system-remote-login
account    include  system-remote-login
password   include  system-remote-login
session    include  system-remote-login

pam ldap sssd

por Omri 14.11.2016 / 21:43

2 respostas

Tags pam ldap sssd

Como iniciar comandos crontab dentro de certas sessões de tela? Socket web do Apache Cluster + Tomcat

score 5 · Answer 1

De acordo com esta linha:

(Sun Nov 13 15:07:51 2016) [sssd[be[LDAP]]] [pam_print_data] (0x0100): authtok type: 0

Não foi passada nenhuma senha da pilha do PAM para o SSSD (o tipo 0 da authtok significa que nenhuma senha, 1 seria a senha), portanto, o SSSD não-sintético pode ser usado para autenticação no servidor LDAP.

Eu recomendaria verificar a configuração do PAM (embora eu nunca tenha usado o coreos, então não tenho idéia de como a pilha do PAM se parece lá ..)

score 0 · Answer 2

Você não menciona qual é o seu host LDAP, assumindo que (yah eu sei) que é o Active Directory isso pode não ser a correção exata, quando você tenta fazer login com ssh você precisa especificar o host eo nome de usuário para que o a verificação de credenciais não se presume ser contra credenciais locais. No caso de AD, seu nome de usuário ssh seria AD \ username.

Você deve fornecer informações sobre o (s) host (s) do LDAP para consultar as credenciais e verificar os logs nesses sistemas para verificar se a consulta está chegando a esse host e se um erro está sendo gerado.