我们有几个使用winbind连接到Active Directory的RHEL6服务器。 所有服务器都使用configurationpipe理工具进行相同的configuration。 但是,使用groups命令和/或sudo查询组时,服务器会产生不同的结果。 然而,Getent和winbind会在所有服务器上返回正确的一致结果。 user.name1和user.name2是组test.group1的成员。 test.group1是组test.group2的成员 在所有服务器上运行以下命令是一致的: # getent group test.group1 test.group1:*:16126:user.name1,user.name2 # getent group test.group2 test.group2:*:16125:user.name1,user.name2 # wbinfo –group-info test.group1 test.group1:*:16126:user.name1,user.name2 # wbinfo –group-info test.group2 test.group2:*:16125:user.name1,user.name2 但是服务器A不正确地返回: # groups user.name2 test.group1 服务器B正确返回: # groups user.name2 test.group1 test.group2 Sambaconfiguration如下所示: winbind use default domain = true winbind offline logon = false winbind separator = + […]
我们正在尝试用SSSD在一些Linux系统上集成ActiveDirectory。 到目前为止,我们已经将linux系统join了这个领域,我们可以使用AD定义的用户login到Linux系统。 现在每个AD用户都可以login到与SSSD集成的每个Linux系统。 我如何让用户Foologin到LinuxServer01,但阻止他login到LinuxServer02? 和/或我怎么能阻止用户login到每个Linux系统,让他在一些特定的?
我已经使用文档HEREconfiguration了RHEL7实例来支持Active Directorylogin集成。 这里描述了使用“ realm ”命令configuration允许AD集成的“ sssd ”服务。 我已经使用以下命令通过realmdconfigurationrealmd : realm join usw.example.com -U myusername realm deny –all realm permit –groups "usw.example.com\\Linux Admins" 然后,我可以用“ [email protected] ”login到“ USW\Linux Admins ”AD组中的“ uswuser ”。 RHEL7盒子(当然)在AD中显示为一个计算机帐户。 我还想授予用户在我们的“ use.example.com ”(注意US E而不是US W )域访问此框的权限: [root@oel7template ~]# realm permit "[email protected]" –verbose ! Invalid login argument '[email protected]' does not match the login format. realm: […]
您好,我正在尝试设置SSSDauthentication到AD上的RHEL。 我能够用我的AD用户和密码login,并看到我的团队,当我运行id 。 但是,当我尝试使用sudo,它只是不断提示我的密码( Sorry, please try again )。 任何想法为什么? 我知道这不是sudoers文件,因为当我运行sudo -U myUser -l我see (root) ALL但是我可以su到root没有问题,我不会提示input密码。 我的假设是它与PAM有关。 pam.d /系统AUTH-AC auth required pam_env.so auth sufficient pam_localuser.so auth [success=done ignore=ignore default=die] pam_unix.so nullok try_first_pass auth requisite pam_succeed_if.so uid >= 1000 quiet_success auth sufficient pam_sss.so forward_pass auth sufficient pam_krb5.so use_first_pass auth required pam_deny.so account required pam_unix.so broken_shadow account […]
我有一种情况,我试图利用GSSAPI(Kerberos)转发连接到另一个也join到Windows AD并使用SSSD的Linux服务器。 Linux机器使用与服务器的实际FQDN不同的机器名称join域。 当我用我的域名证书login到第一台机器时,PAM成功了,我发出了一个有效的令牌。 它显示与klist 。 但是,即使在另一台已join域的Linux主机上启用了SSH上的GSSAPI和Kerberoslogin之后,我仍然得到“在kerberos数据库中找不到服务器”的客户端错误,并退回到使用密码身份validation。 我正在通过-K来启用Kerberos令牌转发。 如果我的内存服务正确,这可能是由于AD中的Kerberos服务器(在这种情况下是Kerberos服务器)中的SPN问题,而Linux机器与我正在连接(或从中)连接的实际机器的FQDN以不同的机器名称连接我不确定,需要一些帮助指引我在正确的方向。
我遇到了SSSD和Active Directory集成的问题。 我的广告设置了9个域控制器的设置,其中一些是防火墙,由于各种安全原因无法访问。 因此,服务发现不适用于SSSD。 这应该没问题,因为我应该能够根据需要显式定义URI。 我有我的sssd.conf中定义这些URI的相关部分如下所示: [domain/ad.utah.edu] ldap_uri = ldap://myserver.domain ldap_backup_uri = ldap://backup-server.domain krb5_server = myserver.domain 但是,当试图使用getent组[email protected]此configuration时,我在与sssd域日志(debuglevel = 9)中的查找有关的活动的开始处看到这些消息: (Tue Nov 7 17:20:26 2017) [sssd[be[mydomain]]] [sdap_id_op_connect_step] (0x4000): beginning to connect (Tue Nov 7 17:20:26 2017) [sssd[be[mydomain]]] [fo_resolve_service_send] (0x0100): Trying to resolve service 'AD_GC' … (Tue Nov 7 17:20:26 2017) [sssd[be[mydomain]]] [ad_get_dc_servers_send] (0x0400): Looking up domain […]
我是pipe理我们的AD基础架构的Windowspipe理员。 我们的Linux团队已经build立了一些CentOS 7虚拟机,并将它们configuration为使用SSSD来join域。 最初的configuration是在一个不同的站点(不是以前写的域)查询一个DC,所以我让他们使用带有SSSD的AD站点进行研究。 服务器现在返回来自DNS的3个_ldap DClogging。 第一个尝试是从一个不同的网站,所以它不能访问它。 第二个作品,它检索正确的网站名称。 一段时间(不知道究竟有多长时间),它会使用响应的DC,在这段时间过去之后,它将开始从DNS获取3个_ldaplogging。 这导致了我们被要求解决的login延迟。 如果我们在configuration中设置了站点名称,那么它一直都在运行,但是我们必须考虑将这些虚拟机从备份中还原到其他设置了站点名称的站点上。 我不知道CentOS中的很多configuration,但有没有一种方法可以正常工作,或者它已经在做什么?
我已经能够设置389 LDAP服务器和SSSD客户端身份validation。 但是,每次login后使用ldap用户login时都会显示错误 ttt@dsl's password: Last login: Thu Dec 6 12:52:06 2012 id: cannot find name for group ID 6006 我尝试了多个不同的用户和多种types。 我在服务器和客户端都使用Centos 6。 getent shadow不会返回ldap用户,这个function请求被Redhat拒绝。 https://bugzilla.redhat.com/show_bug.cgi?id=751291 。 或者我应该切换回nss_ldap / pam_ldap,但是我可能不会获得sssd提供的密码caching。 更新: root@dsl etc]# cat /etc/sssd/sssd.conf [domain/default] ldap_tls_reqcert = never ldap_id_use_start_tls = True cache_credentials = True ldap_search_base = dc=ma,dc=net #krb5_realm = EXAMPLE.COM #krb5_server = kerberos.example.com ldap_group_member […]
我在win 2008 r2活动目录中安装了“UNIX的身份pipe理”。 我这样做是因为我想拥有unix属性,所以我可以通过ldap将Linux计算机链接到活动目录。 我遵循这个教程 ,工作得很好。 但自从我收到警告以来 Password propagation is not done. Either default encryption key is configured or no UNIX hosts configured to propagate password 在我的活动目录。 确实密码传播没有完成,密码全部在活动目录中。 没有主机configuration为传播密码。 据我所知,所有密码相关的活动直接委托给活动目录,sssd只有一些caching,而机器脱机。 我可以告诉AD,它是好的方式(是吗?我是这么认为,但不确定),还是我错过了客户端上的一些configuration?
我使用realmd / sssd将服务器join到MS Active Directory中。 我用mod_auth_kerb安装了apache,并在 Windows服务器上创build了一个keytab 。 但是,我需要将更多的SPN添加到密钥表中 。 我曾尝试使用KADMIN,但我得到一个错误: root@server /etc/httpd# kadmin -p admin@domain -q "ktadd -k /etc/httpd/krb5.keytab HTTP/service1.domain" Authenticating as principal admin@domain with password. Password for admin@domain: Password for admin@domain: kadmin: Database error! Required KADM5 principal missing while initializing kadmin interface 我一直在网上search,但像往常一样,我真的很难find任何有用的kerberos。 身份validation似乎正在工作,虽然我缺less校长; [Wed Dec 30 12:06:49.076912 2015] [auth_kerb:error] [pid 5246] [client […]