Articles of sssd

我有一个连接到我的LDAP服务器的CoreOS服务器。 使用id和ldapsearch命令后，我得到了正确的答案。 不过，我仍然无法使用SSHlogin。 我可以在sssd_LDAP.log文件上看到服务器已经收到用户（my_user）login的请求，但请求被拒绝。 tail -f /var/log/sssd/sssd_LDAP.log (Sun Nov 13 15:06:29 2016) [sssd[be[LDAP]]] [acctinfo_callback] (0x0100): Request processed. Returned 0,0,Success (Success) (Sun Nov 13 15:06:49 2016) [sssd[be[LDAP]]] [be_get_account_info] (0x0200): Got request for [0x1003][FAST BE_REQ_INITGROUPS][1][name=etcd] (Sun Nov 13 15:06:49 2016) [sssd[be[LDAP]]] [sysdb_get_real_name] (0x0040): Cannot find user [etcd] in cache (Sun Nov 13 15:06:49 2016) [sssd[be[LDAP]]] [acctinfo_callback] (0x0100): […]

上下文 我想限制一些AD用户到一个特定的脚本，限制他们可以在这台机器上做什么。 所以，而不是用/bin/bash （比如）连接它们，我想强制它们使用/path/to/my/script 。 这些用户在特定的AD组中。 其他人应该可以使用真正的shell。 经典的方式 如果那些用户在本地用户，我只是改变/etc/passwd的shell字段。 sssd的方式 有没有办法为该组的成员提供不同的shell值？ 如果不是，你会怎么做？

我正在使用sssd ，以便在我们的Linux环境中使用LDAP用户和组。 我必须重命名我的一个Linux用户的LDAP组，并且我注意到在完成编辑组之后，当我在Linux机器上运行： id username时，它一直显示以前的名字（重命名之前）。 我试过重新启动服务器，但没有清理caching，并保持显示我以前的组名称。 我search了Google，并在redhat的官方网站上find了下一个命令： sss_cache -E 这解决了我的问题，并清除了sssdcaching，并在下次运行： id user显示正确的组名称。 但我的问题是： 1. How come a full server reboot didn't clear the cache? 2. How can I make sure the cache gets deleted when the server is rebooted? 提前致谢

在rhel7服务器上，我尝试将服务器join到域中，但是出现以下故障： net ads join -S domain.example.org -U name Enter name's password: Failed to join domain: failed to set machine kerberos encryption types: Insufficient access 与pam，krb5，samba，dns以及远程活动目录服务器中的对象相关的设置configuration正确，这意味着系统将使用rhel6和ubuntu 14.04成功绑定。 我无法find关于我得到的具体错误的很多信息。 我试图在krb5.conf中设置allow_weak_crypto = true来查看它是否与此有关，但是没有任何作用。 我遵循https://technet.microsoft.com/en-us/library/bb463167.aspx中的一些故障排除技巧，但没有运气，我尝试的东西似乎正常工作。 具体来说，我可以做到以下几点，这意味着我可以获得用户名的初始凭证： kinit name Password for [email protected]: 我也能够使用ktutil生成一个keytab文件，当我将它移动到/etc/krb5.keytab klist -e时，它显示正确的内容。 但是， networking广告join失败。 编辑：检查rhel7桑巴源包后，我在README.dc中find以下内容 ： 一旦支持MIT Kerberos KDC，我们将立即提供Samba AD DCfunction。 我怀疑可能是这个问题，我不得不等待，直到准备就绪。 编辑2：使用领域和sssd而是似乎有相同的问题。 做完之后： realm -v join […]

在你嘲笑我之前说：“如果你想要Active Directory，使用Windows”或告诉我使用Google，请听我说。 我的公司非常依赖广告。 不，我们现在已经结婚了，作为财富10强公司，这并没有改变。 但是，在我们的环境中（主要是RHEL和SLES），我们有很多* nix系统，而且我还没有find一个与Active Directory集成作为标识源的好机制。 至less，我需要提供以下内容： 通过AD证书进行身份validation（让用户进入） 授权一旦通过validation（授予用户对系统区域的访问权限） 审计（能够将用户操作绑定回他们的AD证书） 支持AD组（不仅仅是vanilla LDAP，而且需要在系统上添加/删除单个用户） 不是基于AD信任的重复/镜像身份来源（我不需要两个庞大的系统） 我find的顶级解决scheme如下： Centrify公司 PowerBroker公开（PBIS公开，以前同样公开） SSSD + SELinux的 Centrify。 。 。 只是丑陋的 我从来没有真正的粉丝。 另外，为了我公司的需要，我们不能使用Centrify-Express，所以它不是免费的，没有无限的许可证。 然而，这是我们find的最好的解决scheme，而且我正在拼命寻找其他的东西。 PBIS公开是我所倾向的。 这是VMware在vShield后端使用的，它工作得很好。 它只需要一些命令来build立，它支持AD组，并且没有二级身份pipe理系统 – 它直接与AD通信。 我不走这条路的唯一原因是我喜欢原生解决scheme，如果有更好的方法来做到这一点，已经包含在现代发行版中，我完全赞成。 SSSD + SELinux听起来不错。 设置起来很糟糕，但它灵活，原生，并且得到大多数现代发行版的支持。 它所缺乏的唯一东西（据我所知）是对AD组的支持。 许多文章都build议利用FreeIPA或类似的东西来增加这个function，但经过进一步阅读，这违反了要求5，基本上创build了一个中间人身份服务。 我对基本上不重复AD或build立对二级身份服务的信任感兴趣不大。 其他我所讨论的kludge选项包括使用Puppet（我们使用）将/ etc / password，shadow，group文件推送到端点，但是这需要开发，这是非常间接的，而且我可以看到一些糟糕的东西。 更好的select是将SSSD + SELinux添加到Puppet的想法。 虽然这将简化灾难，但仍然是一场灾难。 我错过了什么，你在使用什么，以及我没有解决Linux AD集成头痛的“新热点”是什么？

背景 我试图以我在AWS Directory Services Simple AD中创build的用户身份login（通过SSH，运行到运行sssd的Amazon Linux EC2实例）。 我使用sssd身份validation，并使用LDAP来识别用户（全部通过sssd 。 问题 我无法以adtool创build的用户adtool ，这意味着我很难自动将新用户添加到我的简单AD。 当我尝试，KDC说，它不能支持encryptiontypes（我假设这是用户的密码？）请参阅下面的“错误信息”部分。 但是，我可以以内置pipe理员用户身份login，也可以通过join域的Windows Server 2008 EC2实例上的Microsoftpipe理控制台创build的用户身份login。 所以我的设置工作，或者至less部分工作。 TL;需要DR解决scheme 我需要知道是什么，我做错了adtool ，阻止我作为用户创build的用户login。 我不明白自己做错了什么，我认为这对于试图做类似于我的事情的人来说可能是有用的。 下面的细节。 错误信息 这是在用adtool创build的用户尝试login时的sssd输出： (Thu Dec 31 15:35:35 2015) [[sssd[krb5_child[5459]]]] [sss_child_krb5_trace_cb] (0x4000): [5459] 1451576135.446649: Response was from master KDC (Thu Dec 31 15:35:35 2015) [[sssd[krb5_child[5459]]]] [sss_child_krb5_trace_cb] (0x4000): [5459] 1451576135.446788: Received error from KDC: […]

我最近遇到了一个问题，就是我的AD集成在一些debian盒子上。 我使用SSSD和krb5来允许PAM根据Active Directory同步和validation用户。 这已经工作了一年多，直到ADpipe理员将AD用户的UPN从[email protected]更改为[email protected] 。 现在，同步和用户名识别仍然有效，但authentication突然失败，因为发送给krb5的名称似乎是“ [email protected] ”。 krb5不知道这个领域，所以无法authentication用户。 将krb5.conf文件领域更改为ABCCOMPANY不起作用，因为领域实际上没有改变。 我可以kinit [email protected]使用kinit [email protected] ，它可以很好地logging我。 我不能，但是做kinit [email protected]因为它使krb5抱怨以下消息： kinit: Cannot find KDC for realm "ABCCOMPANY.DK" while getting initial credentials 我觉得这是有道理的。 SSSD将UPN中的ABCCOMPANY.DK发送到krb5，但krb5不能识别该领域，因为它不存在。 所以，问题是：我如何configurationkrb5来识别领域不同于UPN？ 而纯粹的好奇心是一个额外的问题：这种做法（将UPN设置为除域名之外的其他东西）是一种可以接受的做事方式吗？ 有一个域组件并不匹配一个域，这似乎很奇怪。 (Mon Jan 23 13:12:59 2017) [sssd[nss]] [sss_cmd_get_version] (0x0200): Received client version [1]. (Mon Jan 23 13:12:59 2017) [sssd[nss]] [sss_cmd_get_version] (0x0200): Offered version [1]. […]

我花了很多很多的快乐时光来探索集成RHEL7和Active Directory所需的sssdconfiguration。 其中很大一部分包括浏览SSSD和AD集成的许多post，特别是在AD中进行本地UID查找。 虽然这些启发，似乎没有涵盖我的情况。 我目前的问题是，我可以使用Windows用户（使用Windows用户的密码“DOMAIN1 \ sales1”）通过SSHlogin，SSSD将正确validationWindows用户的状态。 如果Windows用户被禁用，或帐户已过期，则login失败 – 全部都应该如此。 如果我通过使用与windows用户具有相同id的linux用户（使用linux用户密码的“sales1”）通过SSHlogin，SSSD将在AD中查找并匹配windows用户，但不会validationAD帐户。 我已经将linux用户的UID应用到了windows用户的uidNumber属性，以帮助AD-linux用户匹配，但是当我使用linux用户凭证login时，似乎没有任何东西可以影响AD用户状态validation。 sssd.conf [sssd] domains = domain1.local config_file_version = 2 services = nss, pam debug_level = 7 [domain/domain1.local] ad_domain = domain1.local krb5_realm = DOMAIN1.LOCAL realmd_tags = manages-system joined-with-adcli id_provider = ad auth_provider = ad access_provider = ad chpass_provider = ad ## We do NOT want […]

我已经设置了sssd和LDAP。 用户进行身份validation和login。 我的问题是，sssd似乎忽略了ldap_access_filter选项，并允许所有用户login。 我已经检查了日志/debugging和pam_sss授权用户每次不pipefilter（我已经尝试了几个不同的所有具有相同的结果）。 这是用来configuration系统的命令： authconfig –updateall –passalgo=md5 –enableldap –enableldapauth \ –ldapserver=ldaps://ldap.example.com \ –ldapbase=ou=people,dc=example,dc=com \ –enableldaptls –enableldapstarttls –disablekrb5 \ –ldaploadcacert=http://certserver/cacerts/cacert.pem \ –enablesssd –enablesssdauth –enableshadow \ –enablecachecreds –enablemkhomedir 这是/etc/sssd/sssd.conf： [domain/default] debug_level = 9 ldap_id_use_start_tls = True cache_credentials = True ldap_search_base = ou=people,dc=example,dc=com id_provider = ldap auth_provider = ldap ldap_access_filter = memberOf=cn=sysadmins,ou=people,dc=example,dc=com chpass_provider = ldap ldap_uri = […]

我试图理解FreeBSD 10.0上PAMconfiguration的错误行为 本机configuration有两个不同的身份validation领域，一个是默认的Unix身份validation，另一个是使用System Security服务守护程序（sssd）。 在这一刻我在/etc/pam.d/sshd使用这个configuration，因为我只是想允许sshloginsssd。 auth sufficient pam_opie.so no_warn no_fake_prompts auth requisite pam_opieaccess.so no_warn allow_local auth sufficient /usr/local/lib/pam_sss.so #auth sufficient pam_krb5.so no_warn try_first_pass #auth sufficient pam_ssh.so no_warn try_first_pass auth required pam_unix.so no_warn use_first_pass # account account required pam_nologin.so #account required pam_krb5.so account required pam_login_access.so account required /usr/local/lib/pam_sss.so ignore_unknown_user account required pam_unix.so # session #session optional […]