我有一个名为“AZone”的Solaris 11.1区域。 我已将该区域join到Active Directory域(Windows Server 2008),目标是用户能够使用其AD帐户login到Solaris区域。 在经历了很多头疼和kerberos,LDAP和PAM周围,我真的得到它的工作! 但是,我有一个问题,作为AD用户login有时会失败…
我在AD上设置了一个名为“jpublic”的虚拟用户。 我知道jpublic大部分时间都可以成功login到azone(我正在使用SSH)。 但是,在没有AD用户loginAZone的一段时间后,jpublic的login尝试将首次失败。 然后,如果我立即尝试以jpubliclogin,它就可以工作。
我打开了PAM日志logging,这是迄今为止我在这个问题上唯一的领先。 在授权日志中,在login失败的时候,我得到了这三条消息,接着是正常的PAM加载消息:
Nov 11 10:29:02 azone sshd[2923]: [ID 800047 auth.info] Illegal user jpublic from 192.168.160.161 Nov 11 10:29:02 azone sshd[2923]: [ID 800047 auth.info] input_userauth_request: illegal user jpublic Nov 11 10:29:02 azone sshd[2923]: [ID 800047 auth.info] Failed none for <invalid username> from 192.168.160.161 port 57148 ssh2 Nov 11 10:29:02 azone sshd[2923]: [ID 604530 auth.debug] PAM[2923]: pam_start(sshd-kbdint,jpublic,7178c:604e08) - debug = 1 Nov 11 10:29:02 azone sshd[2923]: [ID 713382 auth.debug] PAM[2923]: pam_set_item(604e08:service) 在成功login时,我看不到auth.info消息,但是我只看到了pam_start调用,最终login成功。
什么导致login失败的第一次任何想法? 看起来有些东西第一次无法达到caching值,但是尝试login的过程导致caching刷新,所以必要的数据第二次可用。 这可能是kerberos门票被刷新的东西? 什么与ldap_cachemgr守护进程? 我承认我只是对这一切如何工作有一个宽松的理解,所以任何有关如何解决这个问题的提示都会有所帮助。 此外,我可以发布PAMconfiguration文件或命令的输出在某人的build议,如果他们会有用的。
这根本不是一个kerberos问题。 无论您正在使用系统上的用户数据库,这是一个caching问题。
如果你真的老了,只是使用/ etc / passwd中的条目,那么非法的用户消息将意味着该用户不存在于密码文件中。
我无法访问Solaris 11,而且我知道它与Solaris 10完全不同。在Linux机器或solaris 10上,我会告诉您在/etc/nsswitch.conf中查看支持passwd文件的内容。 我不知道Solaris 11上的是什么。