Você não deve usar pam_krb5
em paralelo a pam_sss
. Por que você tem configurado?
Estou tentando configurar um ambiente IPA com um servidor e clientes CentOS 7.3 e estou tendo um comportamento que não consigo entender. Estou usando o IPA versão 4.4.0.
Consegui executar ipa-server-install
no servidor e ipa-client-install
no cliente sem problemas. Em seguida, adicionei um novo usuário foo
além do usuário já existente admin
, que é configurado automaticamente pelo IPA para fins de administração.
Agora para a parte ímpar:
Eu posso obter um tíquete do Kerberos com kinit <user>
para admin
e foo
, também na máquina do cliente. Portanto, parece que a configuração foi bem-sucedida. Consigo obter um tíquete Kerberos em todos os hosts e, se você fez logon como root, um su - foo
também funciona sem problemas. Além disso, quando tento efetuar login no ssh para a máquina IPA server , digamos ssh foo@servermachine
, funciona como um encanto. No entanto, se eu tentar efetuar login na máquina cliente do IPA, ou seja, ssh foo@clientmachine
, serei desconectado imediatamente:
! user@machine >ssh foo@clientmachine
Password:
foo@clientmachine's password:
Connection closed by 172.27.0.104
Curiosamente, ssh pede a senha duas vezes. ssh -vvv
após a segunda tentativa de senha:
foo@clientmachine's password:
debug3: packet_send2: adding 64 (len 57 padlen 7 extra_pad 64)
debug2: we sent a password packet, wait for reply
Connection closed by 172.27.0.104
O lado mais interessante está no cliente (servidor ssh), onde journalctl -xeft sshd
mostra essa mensagem depois de digitar a senha pela primeira vez:
Jun 29 15:53:00 clientmachine sshd[5464]: pam_sss(sshd:auth): authentication success; logname= uid=0 euid=0 tty=ssh ruser= rhost=machine.domain.com user=foo
Jun 29 15:53:00 clientmachine sshd[5464]: pam_krb5[5464]: TGT verified using key for 'host/clientmachine@REALM'
Jun 29 15:53:00 clientmachine sshd[5464]: pam_krb5[5464]: authentication succeeds for 'foo' (foo@REALM)
Jun 29 15:53:01 clientmachine sshd[5464]: pam_sss(sshd:account): Access denied for user foo: 4 (System error)
Jun 29 15:53:01 clientmachine sshd[5461]: error: PAM: User account has expired for foo from machine.domain.com
e a segunda vez:
Jun 29 15:56:10 clientmachine sshd[5483]: pam_sss(sshd:auth): authentication success; logname= uid=0 euid=0 tty=ssh ruser= rhost=machine.domain.com user=foo
Jun 29 15:56:10 clientmachine sshd[5483]: pam_krb5[5483]: TGT verified using key for 'host/clientmachine@REALM'
Jun 29 15:56:10 clientmachine sshd[5483]: pam_krb5[5483]: authentication succeeds for 'foo' (foo@REALM)
Jun 29 15:56:10 clientmachine sshd[5483]: Failed password for foo from 10.128.34.50 port 55327 ssh2
Jun 29 15:56:10 clientmachine sshd[5483]: fatal: Access denied for user foo by PAM account configuration [preauth]
Eu verifiquei duas vezes se a conta está não expirada e, além disso, como dito antes, faça o login como usuário foo via ssh funciona sem problemas se eu me conectar à máquina do servidor IPA. O respectivo sshd
log:
Jun 29 16:00:11 servermachine sshd[29995]: pam_sss(sshd:auth): authentication success; logname= uid=0 euid=0 tty=ssh ruser= rhost=machine.domain.com user=foo
Jun 29 16:00:11 servermachine sshd[29992]: Accepted keyboard-interactive/pam for foo from 10.128.34.50 port 34662 ssh2
Jun 29 16:00:11 servermachine sshd[29992]: pam_unix(sshd:session): session opened for user foo by (uid=0)
Resumindo:
kinit foo
na máquina do servidor: Works kinit foo
na máquina do cliente: Works su - foo
quando logado como root na máquina do servidor: Works su - foo
quando logado como root na máquina cliente: Works ssh foo@servermachine
: funciona ssh foo@clientmachine
: Não funciona! , o cliente ssh é desconectado imediatamente Não consigo entender o que está acontecendo e gostaria de receber ajuda!
Você não deve usar pam_krb5
em paralelo a pam_sss
. Por que você tem configurado?