3 votos

Integración de Linux AD, no se puede iniciar sesión cuando se utiliza Windows Server 2012 DC

Estoy intentando integrar mis servidores CentOS 6.6 en Active Directory. He seguido este de Red Hat utilizando la configuración 3 (SSSD/Kerberos/LDAP). Cuando se utiliza un servidor Windows Server 2008 R2 como controlador de dominio con IMU activado, todo funciona perfectamente.

Sin embargo, cuando uso un servidor Windows Server 2012 R2 con IMU habilitado, soy capaz de adquirir un ticket kerberos, unirme al dominio, buscar en LDAP, pero tan pronto como intento iniciar sesión como un usuario AD desde la consola, obtengo este mensaje de error en /var/log/messages:

6 de junio 11:12:30 test [sssd[krb5_child[4760]]: La preautenticación ha fallado

Y /var/log/secure muestra estos mensajes de error:

6 de junio 11:12:15 inicio de sesión de prueba: pam_sss(login:auth): recibido para el usuario aduser@domain.local: 17 (Fallo al establecer las credenciales del usuario)

6 de junio 11:12:17 inicio de sesión de prueba: FALLÓ EL INGRESO 1 DESDE (null) PARA aduser@domain.local, Fallo de autenticación

Utilizando getent passwd aduser o getent group linuxgroup regresa con éxito.

He probado con este archivo sssd.conf:

\[sssd\]
config\_file\_version = 2
services = nss, pam
domains = domain.local
debug\_level = 5

\[domain/domain.local\]
id\_provider = ad
auth\_provider = ad

ad\_server = dc.domain.local

default\_shell = /bin/bash
fallback\_homedir = /home/%d/%u

cache\_credentials = false
ldap\_id\_mapping = false

Luego leí este informe de errores. Así que cambié mi archivo sssd.conf por este:

\[sssd\]
config\_file\_version = 2
reconnection\_retries = 2
services = nss,pam
debug\_level = 5
domains = domain.local

\[nss\]
debug\_level = 5

\[pam\]
debug\_level = 5

\[domain/domain.local\]
id\_provider = ldap
auth\_provider = krb5
chpass\_provider = krb5
debug\_level = 5

ldap\_uri = ldap://dc.domain.local/
ldap\_sasl\_mech = GSSAPI
ldap\_schema = rfc2307bis

ldap\_user\_search\_base = dc=domain,dc=local
ldap\_user\_object\_class = user

ldap\_user\_home\_directory = unixHomeDirectory
ldap\_user\_principal = userPrincipalName

ldap\_group\_search\_base = dc=domain,dc=local
ldap\_group\_object\_class = group

ldap\_access\_order = expire
ldap\_account\_expire\_policy = ad
ldap\_force\_upper\_case\_realm = true

ldap\_referrals = false

krb5\_server = dc.domain.local
krb5\_realm = DOMAIN.LOCAL
krb5\_canonicalize = false

enumerate = false
cache\_credentials = false

He borrado la caché de mi SSSD y he reiniciado el servicio. Sin embargo, no puedo iniciar sesión.

Ahora estoy recibiendo este error en /var/log/messages:

6 Jun 11:21:43 test [sssd[krb5_child[1546]]: Permiso denegado

Estoy viendo este error en /var/log/sssd/krb5_child.log:

(Sat Jun 6 11:21:43 2015) [[sssd[krb5_child[1387]]]] [sss_get_ccache_name_for_principal] (0x2000): krb5_cc_cache_match failed: [-1765328243][No se puede encontrar la dirección del cliente aduser@DOMAIN.LOCAL en la colección de caché]

(Sat Jun 6 11:21:43 2015) [[sssd[krb5_child[1387]]]] [create_ccache] (0x0020): 575: [13][Permiso denegado]

Ahora, aquí es donde se pone extraño. Como root, si su a cualquier usuario de dominio AD en realidad funciona y el directorio de inicio se crea automáticamente. Estoy a punto de conceder la derrota y sólo se adhieren a la 2k8 DC.

4voto

jhrozek Puntos 99

No puedo dar una respuesta más cualificada sin ver el sssd registros de depuración, pero el informe de errores al que te refieres sólo tenía implicaciones de rendimiento, no funcionales.

La razón por la que eres capaz de su a la cuenta de root es que la pila PAM normalmente incluye pam_rootok.so que evita la autenticación con pam_sss . Dada la autenticidad de root funciona, al menos sabemos que la recuperación de la información sobre la identidad funciona, pero no la autenticidad.

Recomendaría añadir más información a esta pregunta aquí o en la lista de usuarios de sssd. Lo más importante, sssd registros de depuración con un alto debug_level de la sección de dominios y el krb5_child.log .

Encontrará más información en el documento de solución de problemas en la wiki de SSSD.

-2voto

psorobka Puntos 1

Prueba esto:

chmod 644 /etc/krb5.conf

EnMiMaquinaFunciona.com

EnMiMaquinaFunciona es una comunidad de administradores de sistemas en la que puedes resolver tus problemas y dudas.
Puedes consultar las preguntas de otros sysadmin, hacer tus propias preguntas o resolver las de los demás.

Powered by: