Я настраиваю аутентификацию Active Directory для коробки Alma 8, используя SSSD, Kerberos и начальный ключ SSH для входа в систему, хранящийся в объекте Active Directory, и локальный файл sudoers, в котором перечислены группы, которым разрешено использовать sudo.
Я подключил сервер к домену и смог аутентифицироваться как пользователь домена, сначала войдя в систему с помощью ключа SSH. Пароль домена AD должен быть впоследствии предоставлен при эскалации до root, и это точка, в которой процесс завершается сбоем, по-видимому, с ошибкой неправильного пароля.
/etc/nsswitch.conf
пароль: файлы sss
группа: файлы sss
sudoers: файлы sss
/etc/sssd/sssd.conf
[СССД]
сервисы = ssh, nss, pam, sudo
config_file_version = 2
домены = XXXXXXXXXX.COM
[домен/XXXXXXXXXX.COM]
уровень_отладки = 0x3ff0
ad_domain = xxxxxxx.com
krb5_realm = XXXXXXXXXX.COM
id_provider = объявление
access_provider = объявление
перечислить = ложь
cache_credentials = ложь
use_full_qualified_names = Ложь
ldap_user_ssh_public_key = sshPublicKey
ad_enable_gc = ложь
ad_gpo_access_control = отключено
ad_server = dc1.xxxxxxx.com, dc2.xxxxxxx.com
уровень_отладки = 9
dyndns_update = правда
dyndns_update_ptr = правда
ad_hostname = testbox.xxxxxxx.com
[нсс]
default_shell = /bin/bash
fallback_homedir = /home/%d/%u
[сш]
[судо]
уровень_отладки = 0x3ff0
/etc/sudoers.d/company_sudoers
"%админов компании" ВСЕ=(ВСЕ) ВСЕ
"% администраторов домена" ВСЕ=(ВСЕ) ВСЕ
"%gg-srvlocaladmin" ВСЕ=(ВСЕ) ВСЕ
"%dl-linuxadministrators" ВСЕ=(ВСЕ) ВСЕ
Я подтвердил, что вхожу в систему как пользователь домена и являюсь членом одной из необходимых групп (dl-linuxadministrators):
[me@testbox ~]$ группы
пользователи домена nonprod-zabbix-admins prod-zabbix-admins nonprod-glog-allstreams-users prod-glog-allstreams-users prod-glog-views-users gg-linuxadmins dl-linuxadministrators
Однако, когда я подхожу к sudo для root, мой пароль, по-видимому, не принимается:
[me@testbox ~]$ sudo -i
[sudo] пароль для меня:
Извините, попробуйте еще раз.
[sudo] пароль для меня:
Извините, попробуйте еще раз.
[sudo] пароль для меня:
sudo: 3 попытки неправильного ввода пароля
Я включил журналы отладки sudo и sssd. Журналы sudo довольно подробны, я не заметил в них ничего, что явно поразило бы меня как ошибку или что-то подобное (однако я с удовольствием опубликую выдержки, если люди могут посоветовать что-то конкретное, что мне следует искать). Я думаю, что журналы sssd указывают на то, что эта часть процесса аутентификации передается PAM.
Этот конфиг был перенесен с существующих серверов Ubuntu, на которых он работает без проблем. Глядя в файлы в /etc/pam.d/, я вижу, что несколько на Ubuntu
блоки ссылаются на модуль pam_sss.so, тогда как в блоке Alma они отсутствуют.
root@otherbox:/etc/pam.d# grep sss * | grep -v старый
общая учетная запись: учетная запись [по умолчанию = плохой успех = хорошо user_unknown = игнорировать] pam_sss.so
common-auth:auth [success=1 default=ignore] pam_sss.so use_first_pass
общий пароль: достаточный пароль pam_sss.so use_authtok
общий сеанс: необязательный сеанс pam_sss.so
Я пробовал переводить и портировать некоторые из них, по-видимому, без какого-либо эффекта, но это май может быть, я не сделал это правильно из-за различий между дистрибутивами.
Однако системный журнал показывает сообщение об ошибке, возвращающееся из дочернего процесса krb:
4 февраля 16:08:45 testbox krb5_child[2117]: Ошибка предварительной аутентификации
4 февраля 16:08:45 testbox krb5_child[2117]: Ошибка предварительной аутентификации
4 февраля 16:08:45 testbox krb5_child[2117]: Ошибка предварительной аутентификации
я по-прежнему считать проблема, вероятно, связана с PAM, но я не уверен на 100%.
Кто-нибудь может предложить мне какие-либо рекомендации, где это сделать дальше?
Заранее спасибо.
