Tham gia Đăng nhập
Điểm:1
avatar Server

LDAP tìm thấy người dùng, nhưng "quyền bị từ chối" khi đăng nhập

lá cờ aw
Fred

Tôi đang thiết lập ứng dụng khách LDAP trong Red Hat 8.

Sau khi thiết lập các tệp cấu hình, tôi đã thực hiện kiểm tra người dùng LDAP và nó đã hoạt động trở lại thành công:

# id tên người dùng của tôi
uid=666(myusername) gid=510(active_users) groups=510(active_users)

Nếu tôi chạy một ldapsearch nó trả về thành công với kết quả mong đợi:

# ldapsearch -x -ZZ -h ldap.example.com -b dc=example,dc=com

Nhưng nếu tôi cố gắng ssh sang máy Red Hat 8 từ máy khác thì tôi gặp lỗi này:

# ssh [email protected]
mật khẩu của [email protected]:
Quyền bị từ chối, vui lòng thử lại.

Tôi đã thử một vài máy khác nhau với các tài khoản người dùng khác nhau và nhận được kết quả tương tự.

Đây là thiết lập của tôi:

/etc/sssd/sssd.conf

[miền/mặc định]
ldap_tls_reqcert = nhu cầu
cache_credentials = Sai
ldap_search_base = dc=example,dc=com
id_provider = ldap
auth_provider = ldap
chpass_provider = ldap
ldap_uri = ldaps://ldap.example.com/
ldap_id_use_start_tls = Sai
ldap_tls_cacert = /etc/sssd/ca-bundle.crt

[sssd]
config_file_version = 2
dịch vụ = nss, pam, ssh
tên miền = mặc định

[nss]
homedir_substring = /home

/etc/openldap/ldap.conf

TLS_CACERT /etc/sssd/ca-bundle.crt

#BASE dc=ví dụ,dc=com
#URI ldap://ldap.example.com/
SASL_NOCANON bật
URI ldaps://ldap.example.com/
CƠ SỞ dc=ví dụ,dc=com
TLS_CACERTDIR /etc/sssd

/etc/nsswitch.conf

# Được tạo bởi authselect vào Thứ Năm, ngày 27 tháng 1, 15:22:08, 2022
# Không sửa đổi tệp này theo cách thủ công.

mật khẩu: tập tin sss systemd
nhóm: tập tin sss systemd
nhóm mạng: tập tin sss
automount: tập tin sss
dịch vụ: tập tin sss

# passwd: tập tin db
# bóng tối: tệp db
# nhóm: tệp db

# Theo thứ tự khả năng sử dụng để tăng tốc tra cứu.
bóng: tập tin sss
máy chủ: tệp dns myhostname

bí danh: tập tin
ête: tập tin
gshadow: tập tin
# Cho phép initgroups mặc định cài đặt cho nhóm.
# initgroups: tập tin
mạng: tệp dns
giao thức: tập tin
khóa công khai: tập tin
rpc: tập tin

/etc/sysconfig/authconfig

USELDAP=có
USELDAPAUTH=có

/etc/pam.d/password-auth

# Được tạo bởi authselect vào Thứ Năm, ngày 27 tháng 1, 15:22:08, 2022
# Không sửa đổi tệp này theo cách thủ công.

yêu cầu xác thực pam_env.so
yêu cầu xác thực pam_faildelay.so delay=2000000
auth [mặc định=1 bỏ qua=bỏ qua thành công=ok] pam_usertype.so isregular
auth [mặc định=1 bỏ qua=bỏ qua thành công=ok] pam_localuser.so
xác thực đủ pam_unix.so nullok
auth [mặc định=1 bỏ qua=bỏ qua thành công=ok] pam_usertype.so isregular
auth đủ pam_sss.so forward_pass
yêu cầu xác thực pam_deny.so

yêu cầu tài khoản pam_unix.so
đủ tài khoản pam_localuser.so
đủ tài khoản pam_usertype.so issystem
tài khoản [mặc định=không thành công=ok user_unknown=ignore] pam_sss.so
yêu cầu tài khoản pam_permit.so

yêu cầu mật khẩu pam_pwquality.so local_users_only
đủ mật khẩu pam_unix.so bóng sha512 nullok use_authtok
đủ mật khẩu pam_sss.so use_authtok
yêu cầu mật khẩu pam_deny.so

phiên tùy chọn pam_keyinit.so thu hồi
phiên bắt buộc pam_limits.so
-session tùy chọn pam_systemd.so
phiên [success=1 default=ignore] dịch vụ pam_succeed_if.so trong khoảng thời gian yên tĩnh use_uid
phiên bắt buộc pam_unix.so
phiên tùy chọn pam_sss.so

/etc/pam.d/system-auth

# Được tạo bởi authselect vào Thứ Năm, ngày 27 tháng 1, 15:22:08, 2022
# Không sửa đổi tệp này theo cách thủ công.

yêu cầu xác thực pam_env.so
yêu cầu xác thực pam_faildelay.so delay=2000000
auth [mặc định=1 bỏ qua=bỏ qua thành công=ok] pam_usertype.so isregular
auth [mặc định=1 bỏ qua=bỏ qua thành công=ok] pam_localuser.so
xác thực đủ pam_unix.so nullok
auth [mặc định=1 bỏ qua=bỏ qua thành công=ok] pam_usertype.so isregular
auth đủ pam_sss.so forward_pass
yêu cầu xác thực pam_deny.so

yêu cầu tài khoản pam_unix.so
đủ tài khoản pam_localuser.so
đủ tài khoản pam_usertype.so issystem
tài khoản [mặc định=không thành công=ok user_unknown=ignore] pam_sss.so
yêu cầu tài khoản pam_permit.so

yêu cầu mật khẩu pam_pwquality.so local_users_only
đủ mật khẩu pam_unix.so bóng sha512 nullok use_authtok
đủ mật khẩu pam_sss.so use_authtok
yêu cầu mật khẩu pam_deny.so

phiên tùy chọn pam_keyinit.so thu hồi
phiên bắt buộc pam_limits.so
-session tùy chọn pam_systemd.so
phiên [success=1 default=ignore] dịch vụ pam_succeed_if.so trong khoảng thời gian yên tĩnh use_uid
phiên bắt buộc pam_unix.so
phiên tùy chọn pam_sss.so

/etc/ssh/sshd_config

# $OpenBSD: sshd_config,v 1.103 2018/04/09 20:41:22 tj Exp $

Khóa máy chủ /etc/ssh/ssh_host_rsa_key
Khóa máy chủ /etc/ssh/ssh_host_ecdsa_key
Khóa máy chủ /etc/ssh/ssh_host_ed25519_key

# Đăng nhập
#SyslogFacility AUTH
Nhật ký hệ thống Cơ sở AUTHPRIV
#LogLevel THÔNG TIN

# Xác thực:
Giấy phépRootĐăng nhập có
AuthorizedKeysFile .ssh/authorized_keys

# Để tắt mật khẩu văn bản rõ ràng được tạo đường hầm, hãy thay đổi thành không ở đây!
#PasswordAuthentication có
#PermitEmptyMật khẩu không
Xác thực mật khẩu có

# Thay đổi thành không để tắt mật khẩu s/key
#ChallengeResponseXác thực có
ChallengeResponseXác thực không

# tùy chọn GSSAPI
GSSAPIXác thực có
GSSAPICleanupCredentials không
#GSSAPIStrictAcceptorKiểm tra đồng ý
#GSSAPIKeyExchange không
#GSSAPIEnablek5users không

Sử dụngPAM có

X11Chuyển tiếp có

# Nên sử dụng pam_motd trong /etc/pam.d/sshd thay vì PrintMotd,
# vì nó có nhiều cấu hình và linh hoạt hơn phiên bản tích hợp sẵn.
PrintMotd không

ClientAliveInterval 600
ClientAliveCountMax 0

# Chấp nhận các biến môi trường liên quan đến miền địa phương
Chấp nhận Env LANG LC_CTYPE LC_NUMERIC LC_TIME LC_COLLATE LC_MONETARY LC_MESSAGES
Chấp nhận Env LC_PAPER LC_NAME LC_ADDRESS LC_TELEPHONE LC_MEASUREMENT
Chấp nhận Env LC_IDENTIFICATION LC_ALL NGÔN NGỮ
Chấp nhận Env XMODIFIERS

# ghi đè mặc định không có hệ thống con
Hệ thống con sftp /usr/libexec/openssh/sftp-server

/var/log/an toàn

Ngày 28 tháng 1 08:35:39 opal sshd[206875]: pam_unix(sshd:auth): lỗi xác thực; tên đăng nhập= uid=0 euid=0 tty=ssh ruser= rhost=xxx.xxx.xxx.xxx user=myusername
Ngày 28 tháng 1 08:35:40 opal sshd[206875]: Không thể nhập mật khẩu cho tên người dùng của tôi từ cổng xxx.xxx.xxx.xxx 60384 ssh2

nỗ lực

Tôi đã thử như sau:

  • Vô hiệu hóa selinux trong /etc/selinux/config
  • Dừng iptables.service
  • Thêm Giấy phépRootĐăng nhập cóSử dụngPAM có đến Mũ đỏ 8 /etc/ssh/sshd_conf tập tin
  • Đã thử nhiều lần authselect chọn sssd, rồi khởi động lại sssd.service
  • Thêm LỰC LƯỢNG = có Trong /etc/sysconfig/authconfig

Câu hỏi

Ai đó có thể giúp tôi tìm ra lý do tại sao người dùng không thể sử dụng SSH để đăng nhập vào máy chủ này không?

81
0 + 0
lá cờ cn
shearn89
Bạn đã thử đăng nhập vào *cả hai hệ thống* với tư cách là người dùng *không phải LDAP* và thực hiện lệnh `id` trên cả hai hệ thống chưa? Điều đó sẽ xác định xem đó có phải là sự cố tham gia miền hay vấn đề nào khác không.
0
Hồi đáp
lá cờ aw
Fred
@ shearn89 Tôi đã đăng nhập với tư cách là người dùng không phải LDAP và thực hiện lệnh `id` trên máy Red Hat. Từ các máy mà tôi đang cố gắng SSH, tôi có thể SSH sang các máy khác bằng người dùng LDAP.
0
Hồi đáp
lá cờ cn
shearn89
Xin lỗi, máy Red Hat là máy chủ hay máy khách? Bạn có thể kiểm tra lệnh `id` trên CẢ máy chủ và máy khách không.
0
Hồi đáp
lá cờ aw
Fred
Máy Red Hat là một máy chủ. Có, lệnh `id` hoạt động trên cả máy chủ và máy khách.
0
Hồi đáp
lá cờ cn
shearn89
Là thời gian đồng bộ giữa cả hai?
0
Hồi đáp
lá cờ aw
Fred
Câu hỏi hay, tôi đã kiểm tra và có, chúng đồng bộ
0
Hồi đáp
Điểm:0
avatar Server
lá cờ aw
Fred

Cuối cùng tôi đã tìm ra giải pháp, bằng cách tạo tùy chỉnh xác thực hồ sơ với tùy chỉnh xác thực mật khẩu, xác thực hệ thống, và nsswitch.conf các tập tin.

1. Tạo hồ sơ tùy chỉnh dựa trên sssd

authselect tạo hồ sơ người dùng hồ sơ -b sssd

2. Ghi đè /etc/authselect/custom/user-profile/password-auth/etc/authselect/custom/user-profile/system-auth với các cài đặt sau

yêu cầu xác thực pam_env.so
auth đủ pam_unix.so nullok try_first_pass
xác thực đủ pam_sss.so
auth cần thiết pam_succeed_if.so uid >= 1000 silence_success
yêu cầu xác thực pam_deny.so

yêu cầu tài khoản pam_unix.so
đủ tài khoản pam_sss.so
đủ tài khoản pam_localuser.so
tài khoản đủ pam_succeed_if.so uid < 1000 yên
yêu cầu tài khoản pam_permit.so

yêu cầu mật khẩu pam_pwquality.so try_first_pass local_users_only retry=3 authtok_type=
đủ mật khẩu pam_sss.so
đủ mật khẩu pam_unix.so bóng sha512 nullok try_first_pass use_authtok
yêu cầu mật khẩu pam_deny.so

phiên tùy chọn pam_keyinit.so thu hồi
phiên bắt buộc pam_limits.so
-session tùy chọn pam_systemd.so
phiên tùy chọn pam_mkhomedir.so umask=0077
phiên [success=1 default=ignore] dịch vụ pam_succeed_if.so trong khoảng thời gian yên tĩnh use_uid
đủ phiên pam_sss.so
phiên bắt buộc pam_unix.so

3. Ghi đè /etc/authselect/custom/user-profile/nsswitch.conf với các cài đặt sau

passwd: tập tin sss {loại trừ nếu "with-custom-passwd"}
bóng: tập tin sss
nhóm: tệp sss {loại trừ nếu "with-custom-group"}
mặt nạ mạng: tập tin
mạng: tập tin
nhóm mạng: tệp sss {loại trừ nếu "with-custom-netgroup"}
automount: files sss {exclude if "with-custom-automount"}
dịch vụ: tệp sss {exclude if "with-custom-services"}
sudoers: files sss {exclude if "with-sudo"}

4. Chọn hồ sơ mới

authselect chọn tùy chỉnh/hồ sơ người dùng

5. Khởi động lại sssd

systemctrl khởi động lại sssd
0 + 0
lá cờ VietNam
Phan Văn Trường
Câu hỏi này là trong các ngôn ngữ khác:

Đăng câu trả lời

Hầu hết mọi người không hiểu rằng việc đặt nhiều câu hỏi sẽ mở ra cơ hội học hỏi và cải thiện mối quan hệ giữa các cá nhân. Ví dụ, trong các nghiên cứu của Alison, mặc dù mọi người có thể nhớ chính xác có bao nhiêu câu hỏi đã được đặt ra trong các cuộc trò chuyện của họ, nhưng họ không trực giác nhận ra mối liên hệ giữa câu hỏi và sự yêu thích. Qua bốn nghiên cứu, trong đó những người tham gia tự tham gia vào các cuộc trò chuyện hoặc đọc bản ghi lại các cuộc trò chuyện của người khác, mọi người có xu hướng không nhận ra rằng việc đặt câu hỏi sẽ ảnh hưởng—hoặc đã ảnh hưởng—mức độ thân thiện giữa những người đối thoại.