Debian: Problemas de autenticação no anúncio

1

Nosso servidor Debian de alguma forma foi desconectado do AD, e eu estou tentando recuperá-lo. Eu tentei métodos diferentes. Aquele que parece ter funcionado melhor é o reino. Pelo menos diz que se juntou ao reino. Quando tento logar, recebo acesso negado. isto é de /var/log/auth.log:

Aug 10 13:51:57 WD02 sshd[3876]: Received disconnect from 10.2.0.4: 13: Unable to authenticate [preauth] Aug 10 13:52:04 WD02 sshd[3878]: Invalid user **** from 10.2.0.4 Aug 10 13:52:04 WD02 sshd[3878]: input_userauth_request: invalid user ****[preauth] Aug 10 13:52:08 WD02 sshd[3878]: pam_krb5(sshd:auth): authentication failure; logname=**** uid=0 euid=0 tty=ssh ruser= rhost=10.2.0.4 Aug 10 13:52:08 WD02 sshd[3878]: pam_unix(sshd:auth): check pass; user unknown Aug 10 13:52:08 WD02 sshd[3878]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=10.2.0.4 Aug 10 13:52:08 WD02 sshd[3878]: pam_sss(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=10.2.0.4 user=ster Aug 10 13:52:08 WD02 sshd[3878]: pam_sss(sshd:auth): received for user ****: 10 (User not known to the underlying authentication module) Aug 10 13:52:10 WD02 sshd[3878]: Failed password for invalid user **** from 10.2.0.4 port 61928 ssh2

depois de ter estado nisso por um tempo agora é possível fazer o login com o usuário que experimentei, mas apenas se eu escrever o nome de usuário ***@domain.name. Isso só funciona para este usuário, no entanto, todos os outros são negados, mesmo se eles fizerem login com @ domain.name

Alguém tem alguma ideia? Não tenho certeza de quais arquivos de configuração ou outros logs devo fornecer, mas ficarei feliz em fazê-lo se solicitado.

Cumprimentos Stoffe Eriksson

    
por Stoffe Eriksson 10.08.2018 / 13:59

1 resposta

0

Parece que você precisa reingressar o host ao domínio. Eu uso o Samba em vez de SSSD, mas acho que se você puder traduzir esse processo, funcionará. Todas as linhas de comando emitidas no host, o trabalho do AD está em Usuários e Computadores do Active Directory ou PowerShell em uma estação de trabalho ou servidor administrativo com essas funções.

  1. No host, remova o host do domínio.
  2. Limpa o keytab do Kerberos.
  3. Verifique se o host foi removido do AD.
  4. Adicione o host ao domínio.
  5. Garanta a localização correta no AD.
  6. Recrie o keytab.

Eu uso net ads leave -U <admin> onde <admin> é o nome de uma conta do AD com o direito de participação de domínio.
Então net ads keytab flush -U <admin> , net ads join -U <admin> , net ads keytab create -U <admin .

    
por 10.08.2018 / 16:39