Мне нужна помощь в устранении ошибки sssd/krb5.
Теперь у меня есть клиенты Ubuntu 16.04, и я хочу обновить их до 20.04.
/etc/sssd/sssd.conf и /etc/krb5.conf одинаковы на обоих клиентах. Все работает нормально, но войдите в систему с просроченным паролем.
Вот некоторые отличия, которые я нашел в /etc/sssd/krb5_child.log.
krb5_child запрашивает исходные учетные данные немного другим способом.
Убунту 20.04:
(Чт, 8 июля, 19:05:21 2021) [krb5_child[8507]] [sss_child_krb5_trace_cb] (0x4000): [8507] 1625760321.637719: Получена ошибка от KDC: -1765328361/Срок действия пароля истек
(Четверг, 8 июля, 19:05:21 2021) [krb5_child[8507]] [sss_child_krb5_trace_cb] (0x4000): [8507] 1625760321.637721: **Восстановление после ошибки KDC 23 с использованием механизма предварительной аутентификации PA-ENC-TIMESTAMP (2)**
(Четверг, 8 июля, 19:05:21 2021) [krb5_child[8507]] [sss_child_krb5_trace_cb] (0x4000): [8507] 1625760321.637722: Повторная попытка предварительной проверки входных типов (2): (пусто)
(Четверг, 8 июля, 19:05:21 2021) [krb5_child [8507]] [sss_child_krb5_trace_cb] (0x4000): [8507] 1625760321.637723: модуль предварительной аутентификации зашифрованной_временной метки (2) пытается снова вернуть: 0/Успех
(Чт, 8 июля, 19:05:21 2021) [krb5_child[8507]] [sss_krb5_get_init_creds_password] (0x0020): 1627: [-1765328361][Срок действия пароля истек]
(Чт, 8 июля, 19:05:21 2021) [krb5_child[8507]] [get_and_save_tgt] (0x0020): 1704: [-1765328361][Срок действия пароля истек]
(Чт, 8 июля, 19:05:21 2021) [krb5_child[8507]] [tgt_req_child] (0x1000): срок действия пароля истек
(Чт, 8 июля, 19:05:21 2021) [krb5_child[8507]] [sss_child_krb5_trace_cb] (0x4000): [8507] 1625760321.637724: Получение исходных учетных данных для **[email protected]**
(Четверг, 8 июля, 19:05:21 2021) [krb5_child[8507]] [sss_child_krb5_trace_cb] (0x4000): [8507] 1625760321.637725: настройка службы начальных кредитов на kadmin/changepw
Убунту 16.04:
(Пт, 9 июля, 12:41:43 2021) [[sssd[krb5_child[1321]]]] [sss_child_krb5_trace_cb] (0x4000): [1321] 1625823703.446660: Получено сообщение об ошибке от KDC: -1765328361/Срок действия пароля истек
(Пт, 9 июля, 12:41:43 2021) [[sssd[krb5_child[1321]]]] [sss_child_krb5_trace_cb] (0x4000): [1321] 1625823703.446700: Повторная попытка предварительной проверки входных данных: 16, 15, 19, 2
(Пт, 9 июля, 12:41:43 2021) [[sssd[krb5_child[1321]]]] [get_and_save_tgt] (0x0020): 1232: [-1765328361][Срок действия пароля истек]
(Пт, 9 июля, 12:41:43 2021) [[sssd[krb5_child[1321]]]] [tgt_req_child] (0x1000): срок действия пароля истек
(Пт, 9 июля, 12:41:43 2021) [[sssd[krb5_child[1321]]]] [sss_child_krb5_trace_cb] (0x4000): [1321] 1625823703.446848: Получение исходных учетных данных для **login\@[email protected] .RU**
(Пт, 9 июля, 12:41:43 2021) [[sssd[krb5_child[1321]]]] [sss_child_krb5_trace_cb] (0x4000): [1321] 1625823703.446888: настройка службы начальных кредитов на kadmin/changepw
sssd.conf находится здесь:
[СССД]
домены = my.domain.ru
config_file_version = 2
услуги = nss, pam
[домен/мой.домен.ru]
ad_domain = мой.домен.ru
krb5_realm = МОЙ.ДОМЕН.RU
realmd_tags = соединение с adcli
cache_credentials = Истина
id_provider = объявление
krb5_store_password_if_offline = Истина
default_shell = /bin/bash
ldap_id_mapping = Истина
use_full_qualified_names = Ложь
fallback_homedir = /home/%d/%u
simple_allow_users = $
access_provider = объявление
ad_gpo_access_control = отключено
Буду рад любым вашим предложениям)
