Tôi đang định cấu hình xác thực Active Directory cho hộp Alma 8 bằng SSSD, Kerberos và khóa SSH ban đầu để đăng nhập được lưu trữ trong đối tượng Active Directory và tệp sudoers cục bộ liệt kê các nhóm được phép sudo.
Tôi đã kết nối máy chủ với miền và có thể xác thực là người dùng miền, đăng nhập ban đầu bằng khóa SSH. Sau đó, mật khẩu miền AD phải được cung cấp khi nâng cấp lên gốc và đây là điểm mà quá trình này không thành công, có vẻ như do lỗi mật khẩu không chính xác.
/etc/nsswitch.conf
mật khẩu: tập tin sss
nhóm: tập tin sss
sudoers: tập tin sss
/etc/sssd/sssd.conf
[sssd]
dịch vụ = ssh, nss, pam, sudo
config_file_version = 2
tên miền = XXXXXXXXX.COM
[tên miền/XXXXXXXXXX.COM]
debug_level = 0x3ff0
tên miền quảng cáo = xxxxxxx.com
krb5_realm = XXXXXXXXXX.COM
id_provider = quảng cáo
access_provider = quảng cáo
liệt kê = sai
cache_credentials = sai
use_fully_qualified_names = Sai
ldap_user_ssh_public_key = sshPublicKey
ad_enable_gc = sai
ad_gpo_access_control = bị vô hiệu hóa
ad_server = dc1.xxxxxxx.com,dc2.xxxxxxx.com
debug_level = 9
dyndns_update = true
dyndns_update_ptr = true
ad_hostname = testbox.xxxxxxx.com
[nss]
default_shell = /bin/bash
dự phòng_homedir = /home/%d/%u
[ssh]
[sudo]
debug_level = 0x3ff0
/etc/sudoers.d/company_sudoers
"%quản trị viên công ty" TẤT CẢ=(TẤT CẢ) TẤT CẢ
"%quản trị viên miền" TẤT CẢ=(TẤT CẢ) TẤT CẢ
"%gg-srvlocaladmin" TẤT CẢ=(TẤT CẢ) TẤT CẢ
"%dl-linuxadministrators" TẤT CẢ=(TẤT CẢ) TẤT CẢ
Tôi đã xác minh rằng tôi đang đăng nhập với tư cách là người dùng tên miền và là thành viên của một trong các nhóm cần thiết (dl-linuxadministrators):
[me@testbox ~]$ nhóm
người dùng miền nonprod-zabbix-admins prod-zabbix-admins nonprod-glog-allstreams-users prod-glog-allstreams-users prod-glog-views-users gg-linuxadmins dl-linuxadministrators
Tuy nhiên, khi tôi truy cập sudo để root, mật khẩu của tôi dường như không được chấp nhận:
[me@testbox ~]$ sudo -i
[sudo] mật khẩu cho tôi:
Xin lỗi, hãy thử lại.
[sudo] mật khẩu cho tôi:
Xin lỗi, hãy thử lại.
[sudo] mật khẩu cho tôi:
sudo: 3 lần nhập sai mật khẩu
Tôi đã bật nhật ký gỡ lỗi sudo và sssd. Các nhật ký sudo khá dài dòng, tôi không phát hiện ra bất kỳ điều gì rõ ràng khiến tôi bị coi là lỗi hoặc tương tự trong đó (tuy nhiên, tôi rất vui khi đăng các đoạn trích nếu mọi người có thể tư vấn về bất kỳ điều gì cụ thể mà tôi nên tìm kiếm). Nhật ký sssd tôi nghĩ chỉ ra rằng phần này của quy trình xác thực đang được chuyển giao cho PAM.
Cấu hình này đã được chuyển từ các máy chủ Ubuntu hiện có, trên đó nó hoạt động mà không gặp bất kỳ sự cố nào. Tôi có thể thấy khi tìm trong các tệp trong /etc/pam.d/ một số trên Ubuntu
các hộp tham chiếu mô-đun pam_sss.so, trong khi các hộp này bị thiếu trên hộp Alma.
root@otherbox:/etc/pam.d# grep sss * | grep -v cũ
tài khoản chung:tài khoản [mặc định=không thành công=ok user_unknown=ignore] pam_sss.so
common-auth:auth [success=1 default=ignore] pam_sss.so use_first_pass
mật khẩu chung: đủ mật khẩu pam_sss.so use_authtok
phiên chung: phiên tùy chọn pam_sss.so
Tôi đã thử dịch và chuyển một số trong số này, dường như không có tác dụng gì, nhưng nó có thể là tôi đã không làm điều này một cách chính xác do sự khác biệt giữa các bản phát hành.
Tuy nhiên, nhật ký hệ thống hiển thị thông báo lỗi quay lại từ quy trình con krb:
Ngày 4 tháng 2 16:08:45 hộp kiểm tra krb5_child[2117]: Xác thực trước không thành công
Ngày 4 tháng 2 16:08:45 hộp kiểm tra krb5_child[2117]: Xác thực trước không thành công
Ngày 4 tháng 2 16:08:45 hộp kiểm tra krb5_child[2117]: Xác thực trước không thành công
tôi vẫn nghĩ vấn đề có thể liên quan đến PAM, nhưng tôi không chắc chắn 100%.
Có ai có thể cung cấp cho tôi bất kỳ hướng dẫn nào để thực hiện điều này tiếp theo ở đâu không?
Cảm ơn trước.