web-dev-qa-db-ja.com

Linux AD統合、Windows Server 2012を使用しているときにログインできないDC

CentOS 6.6サーバーをActive Directoryに統合しようとしています。私は this 設定3(SSSD/Kerberos/LDAP)を使用したRed Hatのガイドに従いました。 Windows Server 2008 R2サーバーをIMUが有効なドメインコントローラーとして使用すると、すべてが完全に機能します。

ただし、IMUが有効なWindows Server 2012 R2サーバーを使用すると、Kerberosチケットを取得し、ドメインに参加し、LDAPを検索できますが、コンソールからADユーザーとしてログインしようとするとすぐに、/var/log/messagesでこのエラーメッセージを取得します。

6月6日11:12:30テスト[sssd [krb5_child [4760]]]:事前認証に失敗しました

そして/ var/log/secureはこれらのエラーメッセージを示します:

6月6日11:12:15テストログイン:pam_sss(login:auth):ユーザー[email protected]に対して受信:17(ユーザー資格情報の設定に失敗しました)

6月6日11:12:17テストログイン:FAILED LOGIN 1 FROM(null)FOR [email protected]、Authentication failure

getent passwd aduserまたはgetent group linuxgroupを使用すると正常に戻ります。

私はこのsssd.confファイルで試しました:

[sssd] 
 config_file_version = 2 
 services = nss、pam 
 domains = domain.local 
 debug_level = 5 
 
 [ domain/domain.local] 
 id_provider = ad 
 auth_provider = ad 
 
 ad_server = dc.domain.local 
 
 default_Shell = /bin/bash
fallback_homedir = /home/%d/%u

cache_credentials = false 
 ldap_id_mapping = false 

次に this バグレポートを読みます。そこで、sssd.confファイルを次のように変更しました。

 [sssd] 
 config_file_version = 2 
 reconnection_retries = 2 
 services = nss、pam 
 debug_level = 5 
 domains = domain .local 
 
 [nss] 
 debug_level = 5 
 
 [pam] 
 debug_level = 5 
 
 [domain/domain.local] 
 id_provider = ldap 
 auth_provider = krb5 
 chpass_provider = krb5 
 debug_level = 5 
 
 ldap_uri = ldap://dc.domain.local/ 
 ldap_sasl_mech = GSSAPI 
 ldap_schema = rfc2307bis 
 
 ldap_user_search_base = dc = domain、dc = local 
 ldap_user_object_class = user 
 
 ldap_user_home_directory = unixHomeDirectory 
 ldap_user_principal = userPrincipalName 
 
 ldap_group_search_base = dc = domain、dc = local 
 ldap_group_object_class = group 
 
 ldap_access_order = expire 
 ldap_account_expire_policy = ad 
 ldap_force_upper_case_realm = true 
 
 ldap_referrals = false 
 
 krb5_server = dc.domai n.local 
 krb5_realm = DOMAIN.LOCAL 
 krb5_canonicalize = false 
 
 enumerate = false 
 cache_credentials = false 

SSSDキャッシュをクリアして、サービスを再起動しました。まだログインできません。

/ var/log/messagesでこのエラーが発生しています。

6月6日11:21:43テスト[sssd [krb5_child [1546]]]:権限が拒否されました

/var/log/sssd/krb5_child.logにこのエラーが表示されます。

(2015年6月6日11:21:43)[[sssd [krb5_child [1387]]]] [sss_get_ccache_name_for_principal](0x2000):krb5_cc_cache_match failed:[-1765328243] [Ca n't find client principal [email protected] in cacheコレクション]

(2015年6月6日11:21:43)[[sssd [krb5_child [1387]]]] [create_ccache](0x0020):575:[13] [Permission denied]

さて、ここが奇妙なところです。ルートとして、私がADドメインユーザーにsuを実行すると、実際に機能し、ホームディレクトリが自動的に作成されます。私は敗北を認め、2k8 DCに固執しようとしています。

3
Python Novice

sssdデバッグログを確認せずに、より適切な回答を提供することはできませんが、あなたが参照しているバグレポートは、機能的なものではなく、パフォーマンスの影響のみを含みました。

suからrootをアカウントに追加できるのは、PAMスタックには通常、pam_rootok.soによる認証をバイパスするpam_sssモジュールが含まれているためです。 rootからの認証が機能する場合、ID情報の取得は機能するが、認証は機能しないことを少なくとも知っています。

ここまたはsssd-usersリストのいずれかで、この質問にさらに情報を追加することをお勧めします。最も重要なのは、ドメインセクションからのdebug_levelが高いsssdデバッグログとkrb5_child.logです。

詳細については、SSSD wikiの トラブルシューティングドキュメント を参照してください。

4
jhrozek