Регистрация Войти
Рейтинг:2
Gostega avatar Server

Рабочие станции Linux аутентифицируются только на одном контроллере домена.

флаг ro
Gostega

у меня 3 контроллера домена

192.168.1.6 Server 2016 [эквивалент PDC] Сайт 1
192.168.1.7 Сервер 2016 Сайт 1
192.168.31.10 Сервер 2016 Сайт 2

и сочетание рабочих станций Windows10, Mac и Debian 10 Linux. Windows и Mac никогда не имеют проблем. Недавно (в прошлую среду), по-видимому, в то же время, когда я установил октябрьские обновления Windows на контроллеры домена, пользователи периодически не могли войти на рабочие станции Linux.

Вход с рабочего стола выдает "Неверный пароль". Вход через ssh просто закрывает соединение через несколько секунд (в отличие от фактического неправильного пароля, который скажет Разрешение отклонено, попробуйте еще раз:

имя пользователя@ПК:~$ ssh [email protected]
[email protected] пароль:
Соединение закрыто 192.168.1.195 порт 22

Оказалось, что форсирование рабочих станций (через /и т.д./хосты) для разрешения нашего домена (example.com) в основной DC (192.168.1.6 пример.com) починил это.

Очевидно, что это всего лишь обходной путь. Мне не удалось найти какие-либо неудачные события аутентификации в журналах событий Windows на любом контроллере домена. Как будто попытка авторизации даже не достигает DC. Я также не могу найти никаких результатов в Интернете.

Журналы аутентификации на рабочей станции (192.168.1.125):

29 октября 10:09:45 примерLXWS5 sshd[15065]: pam_unix(sshd:auth): ошибка аутентификации; имя журнала = uid = 0 euid = 0 tty = ssh ruser = rhost = 192.168.1.125 пользователь = john.smith
29 октября 10:09:45 примерLXWS5 sshd[15065]: pam_sss(sshd:auth): ошибка аутентификации; имя журнала = uid = 0 euid = 0 tty = ssh ruser = rhost = 192.168.1.125 пользователь = john.smith
29 октября 10:09:45 примерLXWS5 sshd[15065]: pam_sss(sshd:auth): получено для пользователя john.smith: 17 (Ошибка установки учетных данных пользователя)
29 октября, 10:09:47 примерLXWS5 sshd[15065]: Неверный пароль для john.smith с порта 192.168.1.125 54758 ssh2
29 октября 10:09:52 примерLXWS5 sshd[15065]: pam_sss(sshd:auth): аутентификация прошла успешно; имя журнала = uid = 0 euid = 0 tty = ssh ruser = rhost = 192.168.1.125 пользователь = john.smith
29 октября, 10:09:57, пример LXWS5 sshd[15065]: pam_sss(sshd:account): Доступ запрещен для пользователя john.smith: 4 (Системная ошибка)
29 октября, 10:09:57 примерLXWS5 sshd[15065]: Неверный пароль для john.smith от порта 192.168.1.125 54758 ssh2
29 октября, 10:09:57, пример LXWS5 sshd[15065]: фатальный: доступ запрещен для пользователя john.smith из-за конфигурации учетной записи PAM [preauth]
29 октября, 10:09:57, пример LXWS5 sshd[15065]: еще одна ошибка аутентификации PAM 1; имя журнала = uid = 0 euid = 0 tty = ssh ruser = rhost = 192.168.1.125 пользователь = john.smith

Вот еще несколько логов с уровень_отладки = 5 в sssd.conf за неудачную попытку входа.

==> /var/log/sssd/sssd_EXAMPLE.COM.log <==
(Пятница, 29 октября, 13:56:02 2021 г.) [sssd[be[EXAMPLE.COM]]] [dp_get_account_info_handler] (0x0200): получен запрос на [0x3][BE_REQ_INITGROUPS][[email protected]]
(Пт, 29 октября, 13:56:02 2021 г.) [sssd[be[EXAMPLE.COM]]] [sysdb_set_entry_attr] (0x0200): Entry [[email protected],cn=users,cn=EXAMPLE.COM ,cn=sysdb] установил атрибуты [ts_cache].
(Пт, 29 октября, 13:56:02 2021 г.) [sssd[be[EXAMPLE.COM]]] [sysdb_set_entry_attr] (0x0200): Entry [[email protected],cn=users,cn=EXAMPLE.COM ,cn=sysdb] установил атрибуты [ts_cache].
(Пт, 29 октября, 13:56:02 2021 г.) [sssd[be[EXAMPLE.COM]]] [dp_pam_handler] (0x0100): получен запрос со следующими данными
(Пятница, 29 октября, 13:56:02 2021 г.) [sssd[be[EXAMPLE.COM]]] [pam_print_data] (0x0100): команда: SSS_PAM_AUTHENTICATE
(Пт, 29 октября, 13:56:02 2021 г.) [sssd[be[EXAMPLE.COM]]] [pam_print_data] (0x0100): домен: EXAMPLE.COM
(Пт, 29 октября, 13:56:02 2021 г.) [sssd[be[EXAMPLE.COM]]] [pam_print_data] (0x0100): пользователь: [email protected]
(Пт, 29 октября, 13:56:02 2021 г.) [sssd[be[EXAMPLE.COM]]] [pam_print_data] (0x0100): сервис: sshd
(Пт, 29 октября, 13:56:02 2021 г.) [sssd[be[EXAMPLE.COM]]] [pam_print_data] (0x0100): tty: ssh
(Пт, 29 октября, 13:56:02 2021) [sssd[be[EXAMPLE.COM]]] [pam_print_data] (0x0100): ruser:
(Пт, 29 октября, 13:56:02 2021 г.) [sssd[be[EXAMPLE.COM]]] [pam_print_data] (0x0100): rhost: 192.168.1.116
(Пт, 29 октября, 13:56:02 2021) [sssd[be[EXAMPLE.COM]]] [pam_print_data] (0x0100): тип authtok: 1
(Пт, 29 октября, 13:56:02 2021) [sssd[be[EXAMPLE.COM]]] [pam_print_data] (0x0100): newauthtok type: 0
(Пт, 29 октября, 13:56:02 2021) [sssd[be[EXAMPLE.COM]]] [pam_print_data] (0x0100): priv: 1
(Пт, 29 октября, 13:56:02 2021 г.) [sssd[be[EXAMPLE.COM]]] [pam_print_data] (0x0100): cli_pid: 15728
(Пятница, 29 октября, 13:56:02 2021 г.) [sssd[be[EXAMPLE.COM]]] [pam_print_data] (0x0100): имя для входа: не задано
(Пятница, 29 октября, 13:56:02 2021 г.) [sssd[be[EXAMPLE.COM]]] [krb5_auth_send] (0x0100): домашний каталог пользователя [[email protected]] неизвестен.
(Пятница, 29 октября, 13:56:02 2021 г.) [sssd[be[EXAMPLE.COM]]] [fo_resolve_service_send] (0x0100): попытка разрешить службу «AD»
(Пятница, 29 октября, 13:56:02 2021 г.) [sssd[be[EXAMPLE.COM]]] [resolve_srv_send] (0x0200): статус поиска SRV разрешен.
(Пятница, 29 октября, 13:56:02 2021 г.) [sssd[be[EXAMPLE.COM]]] [be_resolve_server_process] (0x0200): найден адрес сервера domaincontroller1.EXAMPLE.COM: [192.168.1.6] TTL 3600

==> /var/log/sssd/krb5_child.log <==
(Пт, 29 октября, 13:56:02 2021 г.) [[sssd[krb5_child[15730]]]] [unpack_buffer] (0x0100): cmd [241] uid [1860816111] gid [1860800513] validate [true] субъект предприятия [true] offline [false] UPN [[email protected]]
(Пт, 29 октября, 13:56:02 2021) [[sssd[krb5_child[15730]]]] [unpack_buffer] (0x0100): ccname: [ФАЙЛ:/tmp/krb5cc_1860816111_XXXXXX] old_ccname: [ФАЙЛ:/tmp/krb5cc_1860816111_SzxXi9]key : [/etc/krb5.keytab]
(Пт, 29 октября, 13:56:02 2021 г.) [[sssd[krb5_child[15730]]]] [check_use_fast] (0x0100): FAST не используется.
(Пт, 29 октября, 13:56:02 2021 г.) [[sssd[krb5_child[15730]]]] [switch_creds] (0x0200): переключить пользователя на [1860816111][1860800513].
(Пт, 29 октября, 13:56:02 2021 г.) [[sssd[krb5_child[15730]]]] [switch_creds] (0x0200): переключить пользователя на [0][0].
(Пятница, 29 октября, 13:56:02 2021 г.) [[sssd[krb5_child[15730]]]] [привилегированный_krb5_setup] (0x0080): не удается открыть сокет ответчика PAC
(Пт, 29 октября, 13:56:02 2021 г.) [[sssd[krb5_child[15730]]]] [become_user] (0x0200): попытка стать пользователем [1860816111][1860800513].
(Пт, 29 октября, 13:56:02 2021 г.) [[sssd[krb5_child[15730]]]] [try_open_krb5_conf] (0x0080): невозможно открыть /etc/krb5.conf [2]: нет такого файла или каталога
(Пт, 29 октября, 13:56:02 2021 г.) [[sssd[krb5_child[15730]]]] [set_lifetime_options] (0x0100): не запрашивается конкретное возобновляемое время жизни.
(Пятница, 29 октября, 13:56:02 2021 г.) [[sssd[krb5_child[15730]]]] [set_lifetime_options] (0x0100): Конкретное время жизни не запрашивается.
(Пт, 29 октября, 13:56:02 2021 г.) [[sssd[krb5_child[15730]]]] [set_canonicalize_option] (0x0100): для канонизации установлено значение [true]
(Пт, 29 октября, 13:56:02 2021 г.) [[sssd[krb5_child[15730]]]] [sss_send_pac] (0x0040): ошибка sss_pac_make_request [-1][2].
(Пятница, 29 октября, 13:56:02 2021 г.) [[sssd[krb5_child[15730]]]] [validate_tgt] (0x0040): сбой sss_send_pac, членство в группе для пользователя с принципалом [john.smith\@EXAMPLE.COM@EXAMPLE. COM] может быть неправильным.
(Пт, 29 октября, 13:56:02 2021 г.) [[sssd[krb5_child[15730]]]] [switch_creds] (0x0200): переключить пользователя на [1860816111][1860800513].
(Пт, 29 октября, 13:56:02 2021 г.) [[sssd[krb5_child[15730]]]] [switch_creds] (0x0200): Уже пользователь [1860816111].
(Пт, 29 октября, 13:56:02 2021 г.) [[sssd[krb5_child[15730]]]] [k5c_send_data] (0x0200): получен код ошибки 0

==> /var/log/sssd/sssd_EXAMPLE.COM.log <==
(Пт, 29 октября, 13:56:02 2021 г.) [sssd[be[EXAMPLE.COM]]] [child_sig_handler] (0x0100): дочерний [15730] успешно завершен.
(Пятница, 29 октября, 13:56:02 2021 г.) [sssd[be[EXAMPLE.COM]]] [fo_set_port_status] (0x0100): пометка порта 389 сервера «domaincontroller1.EXAMPLE.COM» как «рабочего»
(Пт, 29 октября, 13:56:02 2021 г.) [sssd[be[EXAMPLE.COM]]] [set_server_common_status] (0x0100): пометка сервера «domaincontroller1.EXAMPLE.COM» как «рабочего»
(Пт, 29 октября, 13:56:02 2021 г.) [sssd[be[EXAMPLE.COM]]] [sysdb_set_entry_attr] (0x0200): Entry [[email protected],cn=users,cn=EXAMPLE.COM ,cn=sysdb] установил атрибуты [cache, ts_cache].
(Пт, 29 октября, 13:56:02 2021 г.) [sssd[be[EXAMPLE.COM]]] [sysdb_set_entry_attr] (0x0200): Entry [[email protected],cn=users,cn=EXAMPLE.COM ,cn=sysdb] установил атрибуты [cache, ts_cache].
(Пт, 29 октября, 13:56:02 2021 г.) [sssd[be[EXAMPLE.COM]]] [dp_pam_handler] (0x0100): получен запрос со следующими данными
(Пятница, 29 октября, 13:56:02 2021 г.) [sssd[be[EXAMPLE.COM]]] [pam_print_data] (0x0100): команда: SSS_PAM_ACCT_MGMT
(Пт, 29 октября, 13:56:02 2021 г.) [sssd[be[EXAMPLE.COM]]] [pam_print_data] (0x0100): домен: EXAMPLE.COM
(Пт, 29 октября, 13:56:02 2021 г.) [sssd[be[EXAMPLE.COM]]] [pam_print_data] (0x0100): пользователь: [email protected]
(Пт, 29 октября, 13:56:02 2021 г.) [sssd[be[EXAMPLE.COM]]] [pam_print_data] (0x0100): сервис: sshd
(Пт, 29 октября, 13:56:02 2021 г.) [sssd[be[EXAMPLE.COM]]] [pam_print_data] (0x0100): tty: ssh
(Пт, 29 октября, 13:56:02 2021) [sssd[be[EXAMPLE.COM]]] [pam_print_data] (0x0100): ruser:
(Пт, 29 октября, 13:56:02 2021 г.) [sssd[be[EXAMPLE.COM]]] [pam_print_data] (0x0100): rhost: 192.168.1.116
(Пт, 29 октября, 13:56:02 2021) [sssd[be[EXAMPLE.COM]]] [pam_print_data] (0x0100): тип authtok: 0
(Пт, 29 октября, 13:56:02 2021) [sssd[be[EXAMPLE.COM]]] [pam_print_data] (0x0100): newauthtok type: 0
(Пт, 29 октября, 13:56:02 2021) [sssd[be[EXAMPLE.COM]]] [pam_print_data] (0x0100): priv: 1
(Пт, 29 октября, 13:56:02 2021 г.) [sssd[be[EXAMPLE.COM]]] [pam_print_data] (0x0100): cli_pid: 15728
(Пятница, 29 октября, 13:56:02 2021 г.) [sssd[be[EXAMPLE.COM]]] [pam_print_data] (0x0100): имя для входа: не задано
(Пятница, 29 октября, 13:56:02 2021) [sssd[be[EXAMPLE.COM]]] [ad_gpo_get_som_attrs_done] (0x0040): атрибуты для SOM не найдены; попробуй следующий СОМ

==> /var/log/sssd/gpo_child.log <==
(Пятница, 29 октября, 13:56:08 2021 г.) [[sssd[gpo_child[15731]]]] [copy_smb_file_to_gpo_cache] (0x0020): smbc_getFunctionOpen failed [110][время подключения истекло]
(Пятница, 29 октября, 13:56:08 2021 г.) [[sssd[gpo_child[15731]]]] [perform_smb_operations] (0x0020): ошибка копирования_smb_file_to_gpo_cache [110][время подключения истекло]
(Пт, 29 октября, 13:56:08 2021 г.) [[sssd[gpo_child[15731]]]] [main] (0x0020): сбой выполнения_smb_operations.[110][Время ожидания подключения истекло].
(Пт, 29 октября, 13:56:08 2021 г.) [[sssd[gpo_child[15731]]]] [main] (0x0020): ошибка gpo_child!

==> /var/log/sssd/sssd_EXAMPLE.COM.log <==
(Пт, 29 октября, 13:56:08 2021 г.) [sssd[be[EXAMPLE.COM]]] [gpo_cse_done] (0x0020): ad_gpo_parse_gpo_child_response не удалось: [22] [Неверный аргумент]
(Пятница, 29 октября, 13:56:08 2021 г.) [sssd[be[EXAMPLE.COM]]] [ad_gpo_cse_done] (0x0040): невозможно получить данные политики: [22] (недопустимый аргумент}
(Пятница, 29 октября, 13:56:08 2021 г.) [sssd[be[EXAMPLE.COM]]] [ad_gpo_access_done] (0x0040): сбой управления доступом на основе GPO.
(Пт, 29 октября, 13:56:08 2021 г.) [sssd[be[EXAMPLE.COM]]] [child_sig_handler] (0x0020): дочерний [15731] не удалось выполнить со статусом [1].
317
0 + 0
Nikita Kipriyanov avatar
флаг za
Nikita Kipriyanov
Проверяем консистентность домена: репликация работает, требуемое содержимое БД (учетные записи компьютеров и т.д.) совпадает. Попробуйте обновить что-нибудь на одном контроллере и проверьте, видны ли обновления на другом. `dcdiag` - ваш друг.
0
Ответить
Gostega avatar
флаг ro
Gostega
@NikitaKipriyanov спасибо за ваше предложение. dcdiag и repadmin/showrepl отображаются чистыми. Изменения, сделанные на любом из 3 контроллеров домена, прекрасно реплицируются на 2 других. Пользователи могут входить в систему с той же учетной записью на ПК с Windows, но не на ПК с Linux.
0
Ответить
Рейтинг:1
Gostega avatar Server
флаг ro
Gostega

После долгих копаний в журналах (уровень отладки 7 на sssd) и гугления я до сих пор не знаю, в чем основная причина, но обнаружил, что при доступе к определенному объекту групповой политики возникает ошибка. Я проверил права доступа к объекту в \домен.com\SYSVOL\.... и все выглядело нормально.

Этот параметр позволяет решить проблему более приятным способом, чем прикрепление домена к одному контроллеру домена в /и т.д./хосты:

в /etc/sssd/sssd.conf под [домен/МОЙДОМЕН.COM] раздел, я добавил:

ad_gpo_access_control = разрешающий

Полное содержимое файла:

# кошка /etc/sssd/sssd.conf

[СССД]
#отладочный_уровень = 7
домены = МОЙ ДОМЕН.COM
config_file_version = 2
услуги = nss, pam

[домен/МОЙДОМЕН.COM]
#отладочный_уровень = 7
# Добавлен ad_gpo_access_control = permissive 01.11.2021, чтобы исправить проблему входа в AD
ad_gpo_access_control = разрешающий
рекламный_домен = МОЙ ДОМЕН.COM
krb5_realm = МОЙ ДОМЕН.COM
realmd_tags = управляет системой, присоединенной к adcli
cache_credentials = Истина
id_provider = объявление
krb5_store_password_if_offline = Истина
default_shell = /bin/bash
ldap_id_mapping = Истина
use_full_qualified_names = Ложь
fallback_homedir = /home/%u@%d
access_provider = объявление
0 + 0
флаг Moldova
Admin
Этот вопрос на других языках:

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.