AD Login na Zona Solaris Não funciona periodicamente

Question

AD Login na Zona Solaris Não funciona periodicamente

#1 resposta do (0 votos)

1

Eu tenho uma zona do Solaris 11.1 chamada "AZone". Eu tenho a zona unida a um domínio do Active Directory (Windows Server 2008) com o objetivo de os usuários serem capazes de usar sua conta do AD para efetuar login na zona do Solaris. Depois de muitas dores de cabeça e monkeying ao redor com kerberos, LDAP e PAM, eu realmente consegui trabalhar! No entanto, estou tendo um problema em que o login como um usuário do AD às vezes falha ...

Eu tenho um usuário fictício configurado no AD chamado "jpublic". Eu sei que o jpublic pode logar com sucesso na AZone a maior parte do tempo (estou usando o SSH). No entanto, após um período em que nenhum usuário do AD efetuou login na AZone, uma tentativa de login do jpublic falhará na primeira vez. Então, se eu imediatamente tentar logar novamente como jpublic, ele funciona.

Eu tenho o log de PAM ativado, o que me dá a minha única vantagem sobre o assunto até agora. No log de autorização, no login com falha, recebo essas três mensagens, seguidas pelas mensagens normais de carregamento do PAM:

Nov 11 10:29:02 azone sshd[2923]: [ID 800047 auth.info] Illegal user jpublic from 192.168.160.161
Nov 11 10:29:02 azone sshd[2923]: [ID 800047 auth.info] input_userauth_request: illegal user jpublic
Nov 11 10:29:02 azone sshd[2923]: [ID 800047 auth.info] Failed none for <invalid username> from 192.168.160.161 port 57148 ssh2
Nov 11 10:29:02 azone sshd[2923]: [ID 604530 auth.debug] PAM[2923]: pam_start(sshd-kbdint,jpublic,7178c:604e08) - debug = 1
Nov 11 10:29:02 azone sshd[2923]: [ID 713382 auth.debug] PAM[2923]: pam_set_item(604e08:service)

Em um login bem-sucedido, não vejo as mensagens auth.info, mas apenas vejo a chamada pam_start e, eventualmente, o login é bem-sucedido.

Alguma idéia sobre o que está causando o login falha na primeira vez? Parece que algo está falhando em atingir um valor armazenado em cache na primeira vez, mas o processo de tentar efetuar login está causando a atualização de um cache, de modo que os dados necessários estejam disponíveis na segunda vez. Poderia ser algo com os tickets do kerberos sendo atualizados? Algo com o daemon ldap_cachemgr? Admito que só tenho uma compreensão geral de como tudo isso funciona, portanto, qualquer sugestão sobre como solucionar isso seria útil. Além disso, eu posso postar arquivos de configuração do PAM ou saídas de comandos por sugestão de alguém, se eles forem úteis.

pam ldap active-directory kerberos solaris

por DBA Josh 11.11.2013 / 23:10

1 resposta

Tags pam ldap active-directory kerberos solaris

Como listar todas as unidades no systemd independentemente do seu estado, incluindo parametrizado / modelado (@)? Dispositivo USB com servidor de arquivos embutido

score 0 · Answer 1

Este não é um problema do kerberos. É um problema de cache com o que você está usando para o banco de dados do usuário no sistema.

Se você fosse realmente da velha escola e usasse apenas entradas em / etc / passwd, a mensagem de usuário ilegal significaria que esse usuário não existia no arquivo de senhas.

Eu não tenho acesso ao Solaris 11 e sei que é bem diferente do Solaris 10. Em uma máquina linux ou solaris 10 eu diria para você procurar em /etc/nsswitch.conf e ver o que está fazendo o arquivo passwd . Não tenho ideia do que é isso no Solaris 11.