Регистрация Войти
Рейтинг:0
AAABL avatar Server

Ошибка аутентификации Ubuntu SSSD с дочерним/дочерним доменом AD

флаг in
AAABL

Нужна помощь в аутентификации сервера Linux (Ubuntu), присоединенного к дочернему домену. Я вижу имя сервера на контроллере домена и могу успешно выполнить тест аутентификации, однако я не могу войти в систему с моей учетной записью домена. Похоже, что где-то в настройках конфигурации для конфигурации SSSD или KRB5 необходимо указать дочерний домен. Кроме того, это не проблема доверия к домену, поскольку серверы Windows, присоединенные к дочернему домену, принимают учетные данные от родительских учетных записей.

kinit -V пользователь@DOMAIN.SYS
Аутентификация на Kerberos v5

root@SERVER:/var/log/sssd# статус systemctl sssd

22 октября, 17:55:09 СЕРВЕР [sssd[ldap_child[27928]: не удалось инициализировать учетные данные с помощью keytab [ПАМЯТЬ:/etc/krb5.keytab]: клиент «SERVER$@DOMAIN.SYS» не найден в базе данных Kerberos. Не удалось создать соединение LDAP с шифрованием GSSAPI.

ОШИБКА в файле журнала SSSD

Пт, 22 октября, 17:32:51 2021) [sssd[be[DOMAIN.SYS]]] [confdb_get_domain_internal] (0x0010): неизвестный домен [CHILD.DOMAIN.SYS]
(Пятница, 22 октября, 17:32:51 2021 г.) [sssd[be[DOMAIN.SYS]]] [confdb_get_domains] (0x0010): ошибка (2 [Нет такого файла или каталога]) при получении домена [CHILD.DOMAIN.SYS], пропуская!

КОНФИГУРАЦИЯ SSD

root@SERVER:cat /etc/sssd/sssd.conf
[СССД]
услуги = nss, pam
config_file_version = 2
домены = DOMAIN.SYS, CHILD.DOMAIN.SYS

[нсс]
default_shell = /bin/bash

[домен/ДОМЕН.SYS]
id_provider = объявление
access_provider = объявление
override_homedir = /home/%d/%u

ad_hostname = server.child.domain.sys
#ad_server = dc.child.domain.sys
#ad_domain = ДОМЕН.SYS

КОНФИГУРАЦИЯ KRB5

root@SERVER: cat /etc/krb5.conf
[libdefaults]
        default_realm = ДОМЕН.SYS
        ticket_lifetime = 24 часа #
        renew_lifetime = 7 дней
        ряд = ложь

Следующие переменные krb5.conf предназначены только для MIT Kerberos.
        kdc_timesync = 1
        ccache_type = 4
        пересылаемый = правда
        прокси = правда
455
0 + 0
LeeM avatar
флаг cn
LeeM
Пожалуйста, используйте форматирование, чтобы информацию о конфигурации было легче читать.
0
Ответить
Рейтинг:0
LeeM avatar Server
флаг cn
LeeM

Как вы настроили SSSD? Ты сделал царство обнаружить а потом присоединиться к царству? Если вы этого не сделали, это рекомендуемый метод. Я настоятельно рекомендую просто сделать это.

Вы пробовали аутентифицироваться как пользователь в дочернем домене? *получить пароль myuser@CHILD.DOMAIN.SYS

Судя по предоставленной вами информации в плохом формате, у вас есть два домена в sssd.conf.

[СССД] 
услуги = nss, pam 
config_file_version = 2 

домены = DOMAIN.SYS, CHILD.DOMAIN.SYS

[нсс] 
default_shell = /bin/bash

[домен/ДОМЕН.SYS] 
id_provider = объявление 
access_provider = объявление

У вас есть раздел для [домен/CHILD.DOMAIN.SYS]. Что произойдет, если вы сделаете список областей? Это должно показать вам, что правильно настроено в вашем sssd.conf.

Я не уверен, нужно ли вам, чтобы оба домена были перечислены в ситуации родительско-дочернего домена, но, возможно, сначала попробуйте настроить дочерний домен сам по себе. Или хотя бы поставить ребенка на первое место в домены список.

домены = CHILD.DOMAIN.SYS
...
[домен/CHILD.DOMAIN.SYS] 
id_provider = объявление 
access_provider = объявление

Как вы пытаетесь аутентифицировать пользователя родительского домена? Вы пытаетесь использовать SSH или пытаетесь получить локально на сервере? Используете ли вы полное имя для аутентификации пользователя родительского домена? например получить пароль myuser@DOMAIN.SYS

Эта ошибка указывает на то, что он пытается использовать keytab с неправильным именем компьютера. Клиент 'SERVER$@DOMAIN.SYS' . Он должен использовать СЕРВЕР$@CHILD.DOMAIN.SYS если он присоединен к дочернему домену. Действительно ли таблица ключей сервера содержит правильное имя сервера для дочернего домена?

Вот почему я рекомендую упростить проблему, убедившись, что вы можете сначала войти в систему с учетными данными дочернего домена.Хотя я действительно думаю, что вы должны начать сначала с присоединиться к царству если вы не использовали этот метод.

Попробуйте выполнить шаги по устранению неполадок здесь, особенно в разделах «Основы», «Бэкенд» и «Общий поставщик AD»: https://sssd.io/troubleshooting/basics.html

(кстати, я очень надеюсь, что суффикс вашего домена на самом деле не .SYS)

0 + 0
AAABL avatar
флаг in
AAABL
Большое спасибо за ваш ответ!
0
Ответить
AAABL avatar
флаг in
AAABL
да, я смог войти в систему с учетной записью пользователя из дочернего домена, и я изменил sssd.conf, удалив DOMAIN.SYS и оставив только CHILD.DOMAIN.SYS, чтобы не было ошибок. Я могу войти в систему с myuser@CHILD.DOMAIN.SYS, но не с myuser@DOMAIN.SYS (доступ запрещен). Первоначально мы использовали «net ads join k», когда я запускаю обнаружение области, я получаю: область по умолчанию не обнаружена. Нужно ли отсоединять сервер от домена и присоединяться к нему с помощью присоединения к области?
0
Ответить
AAABL avatar
флаг in
AAABL
Когда я запускаю область, откройте -v domain.sys * Разрешение: _ldap._tcp.domain.sys * Успешно обнаружено: DOMAIN.SYS тип: керберос имя области: DOMAIN.SYS доменное имя: domain.sys настроено: kerberos-член серверное программное обеспечение: активный каталог клиентское ПО: win-bind требуемый пакет: winbind требуемый пакет: libpam-winbind требуемый пакет: samba-common-bin форматы входа: TEST\%U политика входа в систему: разрешить любой вход домен.sys тип: керберос имя области: DOMAIN.SYS доменное имя: domain.sys настроено: нет
0
Ответить
LeeM avatar
флаг cn
LeeM
По крайней мере, вы присоединились к домену, так что я бы не стал повторять это, но `присоединение к области` намного лучше, для дальнейшего использования. И «обнаружение области» показывает, что она должна достичь родительского домена. Итак, теперь, возможно, попробуйте изменить `domains = CHILD.DOMAIN.SYS, DOMAIN.SYS` и добавить новый раздел для `[domain/DOMAIN.SYS]` с `id_provider` и `access_provider`. Затем запустите `список областей`, который должен проверить `sssd.conf` и разрешить домены. Используйте команды `getent`, чтобы проверить, что пользователи могут быть разрешены на контроллерах домена, прежде чем пытаться войти в систему.
0
Ответить
LeeM avatar
флаг cn
LeeM
Если пользователи не могут быть разрешены в родительском домене с помощью `getent`, вам может потребоваться проверить разрешение DNS и определить `ad_server`, если хост не может получить доступ ко всем контроллерам домена. Вернитесь к основам, выполнив все шаги по устранению неполадок на sssd.io. Или отсоединитесь от него и посмотрите, поможет ли повторное присоединение с помощью «присоединения к области». Кроме того, если в дочернем домене есть другие подключенные к SSSD машины *nix, проверьте их конфигурацию. Но я думаю, что если вы убедитесь, что оба домена имеют разделы конфигурации в `sssd.conf`, это может исправить ситуацию.
0
Ответить
LeeM avatar
флаг cn
LeeM
о, только что видел, как ты пытался уйти и вернуться. Извините, я не знаю, как выйти из этого рассола, кроме как удалить (или создать резервную копию) keytab, вернуть все файлы conf к значениям по умолчанию и заставить администратора AD убедиться, что учетная запись компьютера в домене на самом деле ушел.
0
Ответить
AAABL avatar
флаг in
AAABL
присоединение к области -v --user=user@DOMAIN.SYS child.domain.sys ! Не удалось пройти аутентификацию в активном каталоге: SASL(-1): общая ошибка: ошибка GSSAPI: неопределенная ошибка GSS. Вспомогательный код может предоставить дополнительную информацию (сервер не найден в базе данных Kerberos) adcli: не удалось подключиться к домену child.DOMAIN.SYS: не удалось выполнить аутентификацию в активном каталоге: SASL(-1): общий сбой: ошибка GSSAPI: неопределенный сбой GSS. Вспомогательный код может предоставить дополнительную информацию (сервер не найден в базе данных Kerberos) ! Недостаточно прав для присоединения к домену
0
Ответить
AAABL avatar
флаг in
AAABL
Я думаю, мне нужно настроить дочерний и родительский домены в файле krb5.conf. Не уверен, какой правильный формат в настоящее время. У меня есть только родительский домен.
0
Ответить
флаг Moldova
Admin
Этот вопрос на других языках:

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.