CentOS 7.3サーバーとクライアントを使用してIPA環境をセットアップしようとしていますが、理解できない動作が発生しています。 IPAバージョン4.4.0を使用しています。
サーバーでipa-server-install
を実行し、クライアントでipa-client-install
を問題なく実行できました。次に、既存のユーザーfoo
に加えて、新しいユーザーadmin
を追加しました。これは、管理目的でIPAによって自動的に設定されます。
奇妙な部分になります:
クライアントマシンでも、admin
とfoo
の両方に対してkinit <user>
を使用してKerberosチケットを取得できます。したがって、セットアップは成功したようです。すべてのホストでKerberosチケットを取得でき、rootとしてログインすると、su - foo
も問題なく機能します。また、sshを介してIPA serverマシン、たとえばssh foo@servermachine
にログインしようとすると、それは魅力のように機能します。ただし、IPA clientマシンにログインしようとすると、つまりssh foo@clientmachine
すぐに切断されます。
! user@machine >ssh foo@clientmachine
Password:
foo@clientmachine's password:
Connection closed by 172.27.0.104
興味深いことに、sshはパスワードを2回要求します。 ssh -vvv
2回目のパスワード試行後、次の結果が得られます。
foo@clientmachine's password:
debug3: packet_send2: adding 64 (len 57 padlen 7 extra_pad 64)
debug2: we sent a password packet, wait for reply
Connection closed by 172.27.0.104
さらに興味深いのは、クライアント(sshサーバー)です。ここで、journalctl -xeft sshd
は、パスワードを初めて入力した後にこのメッセージを表示します。
Jun 29 15:53:00 clientmachine sshd[5464]: pam_sss(sshd:auth): authentication success; logname= uid=0 euid=0 tty=ssh ruser= rhost=machine.domain.com user=foo
Jun 29 15:53:00 clientmachine sshd[5464]: pam_krb5[5464]: TGT verified using key for 'Host/clientmachine@REALM'
Jun 29 15:53:00 clientmachine sshd[5464]: pam_krb5[5464]: authentication succeeds for 'foo' (foo@REALM)
Jun 29 15:53:01 clientmachine sshd[5464]: pam_sss(sshd:account): Access denied for user foo: 4 (System error)
Jun 29 15:53:01 clientmachine sshd[5461]: error: PAM: User account has expired for foo from machine.domain.com
そして2回目:
Jun 29 15:56:10 clientmachine sshd[5483]: pam_sss(sshd:auth): authentication success; logname= uid=0 euid=0 tty=ssh ruser= rhost=machine.domain.com user=foo
Jun 29 15:56:10 clientmachine sshd[5483]: pam_krb5[5483]: TGT verified using key for 'Host/clientmachine@REALM'
Jun 29 15:56:10 clientmachine sshd[5483]: pam_krb5[5483]: authentication succeeds for 'foo' (foo@REALM)
Jun 29 15:56:10 clientmachine sshd[5483]: Failed password for foo from 10.128.34.50 port 55327 ssh2
Jun 29 15:56:10 clientmachine sshd[5483]: fatal: Access denied for user foo by PAM account configuration [preauth]
アカウントの有効期限が切れていないことを再確認しましたさらに、前述のように、ssh経由でユーザーfooとしてログインすると、に接続しても問題なく機能しますIPAサーバーマシン。それぞれのsshd
ログ:
Jun 29 16:00:11 servermachine sshd[29995]: pam_sss(sshd:auth): authentication success; logname= uid=0 euid=0 tty=ssh ruser= rhost=machine.domain.com user=foo
Jun 29 16:00:11 servermachine sshd[29992]: Accepted keyboard-interactive/pam for foo from 10.128.34.50 port 34662 ssh2
Jun 29 16:00:11 servermachine sshd[29992]: pam_unix(sshd:session): session opened for user foo by (uid=0)
要約:
kinit foo
:動作しますkinit foo
:動作しますsu - foo
サーバーマシンにrootとしてログインした場合:動作しますsu - foo
クライアントマシンにrootとしてログインした場合:動作しますssh foo@servermachine
:動作しますssh foo@clientmachine
:動作しません!、sshクライアントはすぐに切断されます何が起こっているのか理解できません。助けていただければ幸いです。
pam_krb5
をpam_sss
と並行して使用しないでください。なぜそれを構成したのですか?