Autenticação LDAP do CentOS 7: “Permissão negada”

Navegue suas respostas
1

Estou executando uma instância do VirtualBox do CentOS 7. Eu estou tentando configurar a autenticação LDAP através do nosso servidor Active Directory da empresa.

Nota: O servidor AD NÃO tem extensões Unix instaladas.

Configuração:

  • Eu tenho o nss-pam-ldapd instalado
  • Os serviços nslcd e nscd estão configurados para serem executados na inicialização

  • /etc/nsswitch.conf foi editado para adicionar o ldap: 

    passwd:     files ldap
group:      files ldap
shadow:     files ldap 
hosts:      files ldap dns myhostname
ethers:     files ldap
networks:   files ldap
protocols:  files ldap
rpc:        files ldap
services:   files ldap sss
aliases:    files ldap nisplus

  • /etc/pam.d/password-auth e /etc/pam.d/system-auth editados para adicionar: 

    auth     sufficient    pam_ldap.so use_first_pas
account  [default=bad success=ok user_unknown=ignore] pam_ldap.so
password sufficient    pam_ldap.so use_authok
session  optional      pam_ldap
session  required      pam_mkhomedir.so skel=/etc/skel umask=0077

  • /etc/nslcd.conf editado: 

    uid nslcd
gid nslcd

uri ldap://myserver.com/

base dc=myserver,dc=com

binddn CN=My Name,OU=Users,OU=DV,DC=myserver,DC=com

bindpw PASSWORDHERE

# Alternative mappings for Active Directory
pagesize 1000
referrals off
idle_timelimit 800
filter passwd (&(objectClass=user)(!(objectClass=computer)))
map    passwd uid           userPrincipalName
map    passwd uidNumber     objectSid:CorrectSID
map    passwd gidNumber     objectSid:CorrectSID
map    passwd homeDirectory "/home/$cn"
map    passwd gecos         displayName
map    passwd loginShell    "/bin/bash"
filter group (objectClass=group)
map    group gidNumber      objectSid:CorrectSID
ssl no

Ao reinicializar a VM e remotamente com o usuário padrão, posso listar todos os usuários do AD ([email protected]) e os grupos usando 

    $ getent passwd
    and
    $ getent group

No entanto, se eu tentar fazer login na interface gráfica ou entrar em contato com meu usuário do AD: 

    $ ssh [email protected]@linuxboxip
    [email protected]@linuxboxip's password:
    Permission denied, please try again.

Eu já passei pelas perguntas relacionadas neste site, através do debug e reconfigurado do zero. Sem sorte.

Alguma opinião?

    
por Richard Wymarc 16.02.2017 / 23:18

1 resposta

0

OK, encontrei o problema.

Veja link

Ao editar os arquivos PAM: /etc/pam.d/password-auth e /etc/pam.d/system-auth

As edições devem ser feitas nas seções apropriadas, não apenas adicionadas à parte inferior do arquivo. Em particular, as linhas password required pam_deny.so DEVEM ser a última entrada na seção.

Agora posso fazer login com o usuário / senha LDAP via SSH e GUI.

    
por 17.02.2017 / 16:34

Tags

O CoreOS não está atualizando automaticamente Comportamento estranho como os logs estão sendo gravados em my.cnf