Logins SSH com falha para todos os usuários, mesmo ao usar a senha correta

Navegue suas respostas
1

Portanto, tenho um servidor RHEL que está associado a anúncios. Os usuários não conseguem fazer login, mesmo quando usam as senhas corretas.

Eu posso fazer o login através do console, mas somente com o root, nenhuma das contas do AD funcionará. Eu não posso usar root para entrar via Putty, só funciona via console. Nenhum usuário do AD pode efetuar login por meio do console, apenas o login de raiz funciona.

Os registros foram frustrantemente inúteis.

Ao tentar acessar via SSH / Putty e uma conta do AD (dois fatores estão ativados), recebo o prompt do Duo, para verificar se ele está chegando. Eu estava recebendo uma senha sua expira em 7 dias mensagem, então eu atualizei minha senha no AD e agora não mais obter a sua senha expira em 7 dias mensagem. Isso me diz que o servidor é capaz de acessar o AD e ler as informações do AD. Abaixo está o texto ao tentar fazer o login com uma conta do AD:

Senha ou opção (1-3): 1 Usando autenticação de teclado interativo. Sucesso. Logando você ... Acesso negado

Ao fazer o login com o root (sem a configuração de dois fatores para raiz ironicamente), ele vai diretamente para o acesso negado.

Limpei o cache do SSSD, verifiquei as configurações do SSSD, comparei as configurações do SSSD com um de nossos outros servidores que não estão tendo o problema e eles são os mesmos.

Como o root também está recebendo o login SSH negado, não acredito que o problema esteja relacionado ao AD.

Qualquer ajuda seria muito apreciada.

    
por Coy 01.11.2017 / 19:48

1 resposta

1

Na minha cabeça, estas são as 3 coisas que me causaram dor ao entrar no CentOS no AD e usar sssd com ssh:

  1. Você tem pam_sss.so listado na parte de senha de /etc/pam.d/password-auth ou foi chamado de outra forma em /etc/pam.d/sshd ? O Sshd usará o PAM para validar a senha e, se o PAM não estiver configurado para falar com sssd , isso quebrará a capacidade de usar ssh com a autenticação do AD.

  2. Você tem um /etc/security/access.conf que talvez tenha uma linha como -:ALL:ALL ? Talvez você precise permitir explicitamente usuários com +:USERNAME:ALL ou permitir que qualquer pessoa que passe a autenticação com +:ALL:ALL

    A man page do access.conf tem boas informações sobre os formatos das entradas e os significados dos campos no arquivo.

  3. Na sub-rotina do seu domínio em /etc/sssd/sssd.conf , você tem uma linha para auth, como auth_provider = ad ?

Editar 2017-11-02 13:48

/etc/nsswitch.conf é outro arquivo que pode ser problemático. Você precisa confirmar que sss está configurado como destino de pesquisa para passwd, shadow, grupo, netgroup, automount e serviços: 

passwd:     files sss
shadow:     files sss
group:      files sss
<snip>    
services:   files sss
netgroup:   files sss
<snip>
aoutomount: files sss

Embora o "Sucesso .... Acesso Negado" me faça pensar que tem algo a ver com o access.conf. Como a autenticação está passando, mas depois sendo bloqueada em outro lugar. Ou ... OP disse que este é o Red Hat. Pode estar faltando as regras do HBAC. Eles não são mencionados em nenhum lugar na documentação do SSSD que eu recordei.

Eu não tenho um servidor RH para verificar, e os servidores CentOS que tenho associados ao domínio não têm o comando ipa .

    
por 01.11.2017 / 20:21

Tags

sed s comando não substituindo Criando um usuário autorizado, todo privilegiado e um banco de dados com nome idêntico via CLI (Bash) em uma linha