web-dev-qa-db-ja.com

正しいパスワードを使用している場合でも、すべてのユーザーのSSHログインが失敗する

だから、私は広告に参加しているRHELサーバーを持っています。正しいパスワードを使用している場合でも、ユーザーはログインできません。

コンソールからログインできますが、rootを使用した場合のみ、ADアカウントが機能しません。 rootを使用してPuTTY経由でログインすることはできません。コンソール経由でのみ機能します。 ADユーザーはコンソール経由でログインできません。rootログインのみが機能します。

ログはイライラするほど役に立たなかった。

SSH/PuTTYとADアカウント(2つの要素がオンになっている)を介してアクセスしようとすると、Duoプロンプトが表示されるので、Duoプロンプトが届いていることを確認できます。 「7日でパスワードの有効期限が切れます」というメッセージが表示されたため、ADでパスワードを更新したところ、「7日でパスワードの有効期限が切れます」というメッセージが表示されなくなりました。これにより、サーバーがADに到達してAD情報を読み取ることができることがわかります。以下は、ADアカウントでログインしようとした場合のテキストです。

パスコードまたはオプション(1-3):1キーボードインタラクティブ認証を使用します。成功。ログインしています...アクセスが拒否されました

Rootでログインする場合(皮肉なことにrootの2要素設定はありません)、直接アクセスが拒否されます。

私はSSSDキャッシュをクリアし、SSSD設定を検証し、SSSD設定を問題がない他のサーバーの1つと比較しましたが、それらは同じです。

RootもSSHログインを拒否されているため、問題がADに関連しているとは思いません。

どんな助けでも大歓迎です。

linuxrhelloginactive-directorysssd
4
Coy

私の頭の上のこれらは、CentOSをADに参加させ、sssdをsshと一緒に使用することで私に苦痛を与えた3つのものです:

  1. pam_sss.soのパスワード部分に/etc/pam.d/password-authが記載されていますか、それとも/etc/pam.d/sshdで呼び出されていますか? SshdはPAMを使用してパスワードを検証します。PAMがsssdと通信するように構成されていない場合、AD認証でsshを使用する機能が無効になります。

  2. /etc/security/access.confのような行が含まれている-:ALL:ALLはありますか? +:USERNAME:ALLを使用してユーザーを明示的に許可する必要がある場合や、+:ALL:ALLを使用して認証を通過するすべてのユーザーを許可することができます。

    Access.confのmanページには、エントリの形式とファイル内のフィールドの意味に関するいくつかの優れた情報があります。

  3. /etc/sssd/sssd.confのドメインスタンザに、auth_provider = adのような認証用の行がありますか?

編集2017-11-02 13:48

/etc/nsswitch.confは、問題となる可能性がある別のファイルです。 sssがpasswd、shadow、group、netgroup、automount、およびservicesのルックアップターゲットとして構成されていることを確認する必要があります。

passwd:     files sss
shadow:     files sss
group:      files sss
<snip>    
services:   files sss
netgroup:   files sss
<snip>
aoutomount: files sss

「Success .... Access Denied」は、access.confと関係があると思いますが。認証と同様ですが、他の場所でブロックされます。または... OPは、これはRed Hatであると述べました。 HBACルールが欠落している可能性があります。それらは、私が思い出すSSSD文書のどこにも言及されていません。

チェックするRHサーバーがなく、ドメインに参加しているCentOSサーバーにipaコマンドがありません。

1
Tim Kennedy

根本原因が異なる非常に類似したシナリオ:

consoleを使用して、sssdで(LDAPに対して)ログインします。 sshを介してsssdで正しいパスワードを使用してログインすると失敗します。拒否されるまで約8秒の遅延があります。

私の解決策は、AllowGroups ssh-login/etc/ssh/sshd_configから削除することでした。このオプションは、サーバーにログインできるユーザーのグループを制限します。私はそのグループのメンバーではなかったので、接続を許可されませんでした。どうやってそこに到達したのかわかりません。サーバーをVM-peepsから事前構成します。多分それはDebian 10のデフォルトです。たぶんIT部門がそこに置いたのでしょう。

0
Chris