我试图在FreeBSD 10.0系统中实现security/sssd端口。 我的主要目标是从运行在Windows Server 2012 R2上的Active Directory中对用户进行身份validation。 我想知道是否有人使用这个端口(或包)成功。 我甚至无法debugging到正常工作,没有任何错误显示在日志文件中。 我的configuration文件和debugging信息在这里: 文件内容: /usr/local/etc/sssd/sssd.conf [sssd] config_file_version = 2 services = nss, pam # SSSD will not start if you do not configure any domains. # Add new domain configurations as [domain/<NAME>] sections, and # then add the list of domains (in the order you want them to […]
我们已经configuration了一个正常工作的OpenLDAP服务器。 FreeBSD,Debian和一个WordPress插件validation没有问题。 我们使用pam_sssconfigurationFedora 21,但是在/var/log/secure出现以下错误: Mar 1 00:15:00 www sshd[1176]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=199.100.16.39 user={REDACTED} Mar 1 00:15:00 www sshd[1176]: pam_sss(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=199.100.16.39 user={REDACTED} Mar 1 00:15:00 www sshd[1176]: pam_sss(sshd:auth): received for user {REDACTED}: 6 (Permission denied) getent passwd {REDACTED}返回 {REDACTED}:*:1000:500:{REDACTED (full user name)}:/home/users/{REDACTED}: 我运行configuration客户端的命令是 […]
我正在尝试将我的CentOS 6.6服务器集成到Active Directory中。 我从Red Hat使用configuration3(SSSD / Kerberos / LDAP)遵循本指南。 当使用Windows Server 2008 R2服务器作为启用了IMU的域控制器时,一切正常。 但是,当我使用启用了IMU的Windows Server 2012 R2服务器时,我能够获得kerberos票据,join域,searchLDAP,但只要我尝试以控制台的AD用户身份login,在/ var / log / messages中获取此错误消息: Jun 6 11:12:30 test [sssd [krb5_child [4760]]]:预authentication失败 而/ var / log / secure显示了这些错误信息: 6月6日11:12:15testinglogin名:pam_sss(login:auth):为用户[email protected]收到:17(失败设置用户凭证) Jun 6 11:12:17 test login:FAILED LOGIN 1 FROM(null)for [email protected],Authentication failed 使用getent passwd aduser或getent group linuxgroup成功返回。 我试过用这个sssd.conf文件: [SSSD] config_file_version = […]
我刚刚构build了一个运行OpenSuSE 12.1的testing服务器,并试图学习如何configurationsssd,但不知道从哪里开始寻找我的configuration无法允许我进行身份validation的原因。 server:/etc/sssd # cat sssd.conf [sssd] config_file_version = 2 reconnection_retries = 3 sbus_timeout = 30 services = nss,pam domains = test.local [nss] filter_groups = root filter_users = root reconnection_retries = 3 [pam] reconnection_retries = 3 # Section created by YaST [domain/test.local] access_provider = ldap ldap_uri = ldap://server.test.local ldap_search_base = dc=test,dc=local ldap_schema = rfc2307bis id_provider […]
我已经安装了Debian Squeeze和sssd。 当我尝试通过SSH用户“alexwinner”login到服务器时,我在日志中看到: (Fri May 11 18:56:03 2012) [[sssd[krb5_child[26281]]]] [get_and_save_tgt] (1): 523: [-1765328360][Preauthentication failed] 但是当我执行kinit alexwinner一切正常,我收到票。 这是我的sssd.conf [sssd] config_file_version = 2 reconnection_retries = 3 sbus_timeout = 30 services = nss, pam domains = MYDOMAIN.COM [nss] filter_groups = root filter_users = root reconnection_retries = 3 ; entry_cache_timeout = 600 ; entry_cache_nowait_timeout = 300 [pam] reconnection_retries = […]
当我尝试安装SSSD使用yum install sssd安装SSSDterminal写入安装完成罚款,但是当我尝试service sssd start它写 sssd:无法识别的服务 然后当我试图启动它使用/etc/init.d/sssd start我得到一个错误 开始sssd:[失败] 另外我可以看到/etc/sssd目录是空的(服务无法启动, 因为它错过了sssd.conf文件 ,它必须位于这个空目录中)。
今天我遇到了SSSD的重大问题,新创build的用户无法login。 解决问题之后,我发现问题出在AD用户对象安全权限中。 似乎最近我的团队中有人更改了经过身份validation的用户的权限,并取消选中“读取”checkbox。 所以我的问题是哪个用户做了一个Linux服务器join到SSSD域来validation和检索AD对象信息? 由于已经为authentication用户取消读取权限的用户非常关键,所以我想知道SSSD使用哪个用户进行身份validation。 它可能是需要权限的Linux服务器的计算机对象吗? 奇怪的是,当我启用读取权限暂时,身份证的用户之后,所有的工作正常。 然后,我取消了对已validation用户的读取权限,看起来一切正常。(当然在清空sssdcaching之后)对于哪个用户欢迎哪些权限是最低要求的任何见解。 我们发现它是实际validation的AD计算机对象。 给这个对象读取用户的权限使id命令检索组。 问题是哪些权限是最低要求,所以ID命令可以获得所有的组?
我们使用Puppet来pipe理我们的Linux桌面机器和SSSD,以使我们的用户通过中央authentication系统进行authentication。 最近当我们build立了几台新机器的时候,我们发现木偶在安装软件包的过程中正在停止。 罪魁祸首是kdm包,当最近一个“kdm”用户名被添加到中央机构时,它试图添加一个本地“kdm”用户。 通常情况下,我发现这个问题是通过命名空间分割机制(比如Windows域)来处理的,但是我在Linuxpipe理中的短暂时间并不能真正帮助我find一个好办法。 我可以想出如何解决这个问题的一些一般想法(最优雅到最不优雅): 找出从中央用户名划分系统用户名的一个好方法,这样以后的冲突就不成问题了。 使用dpkg标志强制kdm包添加一个不同的用户名(或使用nobody)。 强制dpkg添加用户。 这将不允许用户login到我们的系统,但这很可能不会成为问题。 当然,(2)和(3)并没有解决潜在的问题,但是如果(1)式中的解决scheme对我们目前的设置造成特别的损害,则像(2)或(3) 。
我已经成功地configurationsssd,并可以ssh进入一个系统与AD凭据我缺less的是创build一个主目录和bash设置为壳。 我的假设是,如果我login到一个没有本地linux帐户,但是有一个有效的AD帐户的系统,那么当用户第一次login时就会创build一个主目录,并且按照/etc/sssd/sssd.conf : override_homedir = /home/%u default_shell = /bin/bash 我也跑了 authconfig –enablesssd –enablesssdauth –enablemkhomedir –update 我错过了什么,或者我对现有configuration做出了不正确的假设? 我想避免使用Windows的Unix的Identity Managementfunction。
我需要将SSSD安装到我的客户端的一些服务器上,但其中一些服务器相当老旧。 是否有一个特定版本的红帽存储库中的所有包的列表? 具体而言,我需要查看RH 5.3,5.4和5.4 Beta支持的最新SSSD版本,而无需下载它们。