sssd: problemas de login com o usuário do AD

Navegue suas respostas
2

Eu configurei meu samba4 DC para obter informações de conta de um provedor central do AD via sssd. O que eu gostaria de fazer agora é permitir que alguns subconjuntos desses usuários façam login via ssh (para máquinas linux) ou via RDP (para máquinas windows).

Eu posso obter informações passwd do provedor do AD usando getent passwd <name> . Infelizmente, isso está chegando com parâmetros que parecem não funcionar localmente:

johndoe:*:53122:513:John Doe:\nafs2\u204\johndoe:212578

Os erros em /var/log/secure aparecem da seguinte forma: 

Jul 16 03:42:46 beanbag sshd[3303]: User johndoe not allowed because shell 212578 does not exist  
Jul 16 03:42:46 beanbag sshd[3304]: input_userauth_request: invalid user johndoe  
Jul 16 03:42:50 beanbag sshd[3303]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=server.edu  user=johndoe  
Jul 16 03:42:51 beanbag sshd[3303]: pam_sss(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=server.edu user=johndoe  
Jul 16 03:42:51 beanbag sshd[3303]: pam_sss(sshd:auth): received for user johndoe: 6 (Permission denied)  
Jul 16 03:42:53 beanbag sshd[3303]: Failed password for invalid user johndoe from 10.95.20.20 port 1714 ssh2

Que passo (s) eu perdi na configuração do sssd (e é parente)?

CentOS 6.4 (x64)

NOTA: eu corri authconfig --enablesssd --enablesssdauth --update .

EDIT: Corrigido a primeira parte deste problema - 'shell não existe'.

CORRECÇÃO: em /etc/sssd/sssd.conf adicione estas linhas à seção [nss]: 

allowed_shells = /bin/bash
shell_fallback = /bin/bash

Agora, ele tenta criar o diretório inicial (inválido) \\ nafs2 \ u204 \ johndoe e, em seguida, retorna um 'Esta conta não está disponível atualmente'. erro.

EDIT: Se você usar a entrada override_shell = /bin/bash (or whatever) na listagem do seu domínio, ela corrigirá o problema acima.

    
por ethrbunny 16.07.2014 / 13:05

2 respostas

1

Se eu entendi a pergunta corretamente, você deve especificar o shell do usuário.

Em Usuários e Computadores do Active Directory , clique com o botão direito do mouse na conta do usuário, selecione Propriedades , clique na guia Atributos Unix e especifique um Login Shell como /bin/bash .

A guia Atributos Unix se torna disponível após a instalação do serviço de função Identity Management para Componentes UNIX , que é realizado por meio do Gerenciador de Servidores . Ele fornece um esquema estendido com um conjunto parcialmente compatível com RFC 2307 de atributos do UNIX, como UID, GID, shell de login, etc.

Você também parece ter algum tipo de problema com a configuração sssd , como se o usuário não estivesse no grupo certo para efetuar login. Eu poderia tentar o lista de discussão de usuários do sssd para obter assistência especializada detalhada. Eles são um grupo muito experiente e amigável.

    
por 16.07.2014 / 13:35
1

Isso pode aparecer devido a um tempo limite em krb5 auth . Pode ser corrigido adicionando a seguinte linha em sssd.conf :

krb5_auth_timeout = 60

Onde 60 é o tempo necessário.

    
por 19.05.2017 / 12:03

Tags

Como editar as configurações do hotspot no Linux Mint 17? Substituição de parâmetros e mensagens de erro: suprimindo números de linhas, etc.