Na minha cabeça, estas são as 3 coisas que me causaram dor ao entrar no CentOS no AD e usar sssd com ssh:
-
Você tem
pam_sss.so
listado na parte de senha de/etc/pam.d/password-auth
ou foi chamado de outra forma em/etc/pam.d/sshd
? O Sshd usará o PAM para validar a senha e, se o PAM não estiver configurado para falar comsssd
, isso quebrará a capacidade de usarssh
com a autenticação do AD. -
Você tem um
/etc/security/access.conf
que talvez tenha uma linha como-:ALL:ALL
? Talvez você precise permitir explicitamente usuários com+:USERNAME:ALL
ou permitir que qualquer pessoa que passe a autenticação com+:ALL:ALL
A man page do access.conf tem boas informações sobre os formatos das entradas e os significados dos campos no arquivo.
-
Na sub-rotina do seu domínio em
/etc/sssd/sssd.conf
, você tem uma linha para auth, comoauth_provider = ad
?
Editar 2017-11-02 13:48
/etc/nsswitch.conf
é outro arquivo que pode ser problemático. Você precisa confirmar que sss
está configurado como destino de pesquisa para passwd, shadow, grupo, netgroup, automount e serviços:
passwd: files sss
shadow: files sss
group: files sss
<snip>
services: files sss
netgroup: files sss
<snip>
aoutomount: files sss
Embora o "Sucesso .... Acesso Negado" me faça pensar que tem algo a ver com o access.conf. Como a autenticação está passando, mas depois sendo bloqueada em outro lugar. Ou ... OP disse que este é o Red Hat. Pode estar faltando as regras do HBAC. Eles não são mencionados em nenhum lugar na documentação do SSSD que eu recordei.
Eu não tenho um servidor RH para verificar, e os servidores CentOS que tenho associados ao domínio não têm o comando ipa
.