Không thể ssh đến máy chủ bằng thông tin đăng nhập SSSD

Chúng tôi đang xây dựng một máy chủ Ubuntu mới. Trường hợp máy chủ không chấp nhận kết nối SSH với thông tin xác thực người dùng SSSD.

Dưới đây là lỗi chúng tôi thấy trên máy chủ với trạng thái SSSD

sssd.service - Dịch vụ bảo mật hệ thống Daemon
     Đã tải: đã tải (/lib/systemd/system/sssd.service; đã bật; giá trị đặt trước của nhà cung cấp: đã bật)
     Hoạt động: hoạt động (đang chạy) kể từ Thứ Ba 2021-10-12 16:01:27 EDT; 1 phút 12 giây trước
   PID chính: 3056 (sssd)
      Nhiệm vụ: 6 (giới hạn: 4617)
     Bộ nhớ: 50,9M
     Nhóm C: /system.slice/sssd.service
             ââ3056 /usr/sbin/sssd -i --logger=files
             ââ3077 /usr/libexec/sssd/sssd_be --domain FORDDIRECT.LOCAL --uid 0 --gid 0 --logger=files
             ââ3078 /usr/libexec/sssd/sssd_nss --uid 0 --gid 0 --logger=files
             ââ3079 /usr/libexec/sssd/sssd_pam --uid 0 --gid 0 --logger=files
             ââ3080 /usr/libexec/sssd/sssd_ssh --uid 0 --gid 0 --logger=files
             ââ3081 /usr/libexec/sssd/sssd_autofs --uid 0 --gid 0 --logger=files

Ngày 12 tháng 10 16:01:26 XXXXXXXXXXXXXXXXXXXXXXXX systemd[1]: Khởi động Daemon Dịch vụ Bảo mật Hệ thống...
Ngày 12 tháng 10 16:01:26 XXXXXXXXXXXXXXXXXXXXXXXX sssd[3056]: Khởi động
Ngày 12 tháng 10 16:01:27 XXXXXXXXXXXXXXXXXXXXX sssd_be[3077]: Khởi động
Ngày 12 tháng 10 16:01:27 XXXXXXXXXXXXXXXXXXXXX sssd_pam[3079]: Khởi động
Ngày 12 tháng 10 16:01:27 XXXXXXXXXXXXXXXXXXXXX sssd_autofs[3081]: Khởi động
Ngày 12 tháng 10 16:01:27 XXXXXXXXXXXXXXXXXXXXX sssd_ssh[3080]: Khởi động
Ngày 12 tháng 10 16:01:27 XXXXXXXXXXXXXXXXXXXXX sssd_nss[3078]: Khởi động
Ngày 12 tháng 10 16:01:27 XXXXXXXXXXXXXXXXXXXXXXXX systemd[1]: Bắt đầu Dịch vụ Bảo mật Hệ thống Daemon.
Ngày 12 tháng 10 16:02:34 XXXXXXXXXXXXXXXXXXXXX sssd_be[3077]: Không thể tự động phát hiện giá trị trang web AD bằng cách sử dụng DNS và ad_site op>

Xác minh rằng DNS được thiết lập chính xác.

Tôi có các bộ điều khiển miền được liệt kê trong tệp /etc/hosts để xác minh rằng mỗi khách hàng đều biết tìm chúng ở đâu.

# ví dụ về bộ điều khiển miền trong /etc/hosts
1.1.1.1 bộ điều khiển miền1.ad.example.com bộ điều khiển miền1
2.2.2.2 bộ điều khiển miền2.ad.example.com bộ điều khiển miền2
3.3.3.3 bộ điều khiển miền3.ad.example.com bộ điều khiển miền3
4.4.4.4 domaincontroller4.ad.example.com domaincontroller4

Ngoài ra, hãy kiểm tra /etc/resolv.conf hoặc /etc/systemd/resolved.conf (Ubuntu 20.04) để biết cấu hình máy chủ tên DNS.

# ví dụ về các mục trong /etc/resolv.conf hoặc /etc/systemd/resolved.conf
máy chủ tên <địa chỉ ip>
máy chủ định danh 8.8.8.8
tìm kiếm ad.your.domain

Sau khi sửa đổi /etc/systemd/resolved.conf, bạn sẽ cần chạy:

systemctl khởi động lại độ phân giải
độ phân giải -u

Trên Ubuntu 20.04, bạn cũng có thể chạy systemd-resolve --status để xem máy chủ DNS nào được cấu hình.

Đảm bảo rằng bạn có /etc/sssd/sssd.conf với các quyền và chủ sở hữu được đặt chính xác.

# Quyền
-rw------- 1 root root 1,3K 21/12 08:42 /etc/sssd/sssd.conf

Nếu sử dụng vương quốc để tham gia miền, tệp cấu hình sssd của bạn chỉ cần có phần sau để tham gia. Realm sẽ tự động xây dựng một số yêu cầu cần thiết khác trong tệp sssd.conf.

# Cấu hình sssd.conf cơ bản
[sssd]
tên miền = 
config_file_version = 2
dịch vụ = nss, pam

# lệnh tham gia cảnh giới ví dụ
tham gia lĩnh vực -U AdminAcct ad.example.com --computer-name="server1" --os-name="Ubuntu" --os-version="20.04" --computer-ou="CN=Computers,DC= quảng cáo,DC=ví dụ,DC=com" --automatic-id-mapping=no

Sau khi tham gia miền với cấu hình trên, bạn có thể sửa đổi tệp sssd.conf và sau đó chỉ cần chạy:

systemctl khởi động lại sssd.service && sss_cache -E