在两个AD域之间成功构build了一个单向信任之后,我们无法在可信域中查找/识别用户。 这是我们的用例。 AD1:dom1.com(Win2k8 R2) – 单向传出信任到AD2 AD2:dom2.com(Win2kr R2) – 来自AD1的单向传入信任 Linux1:AD1 / dom1.com的成员 可以查找User1:Linux1> $ id AD1 \ User1 – 确定 无法查找User2 Linux1> $ id AD2 \ User2 – 不行。 PAM和SSSD在AD1域内工作正常。 我尝试在sssd.conf(例如[domain / AD2])中添加一个域项,但根本没有帮助。 根据User1的成功查找,Kerberos正常工作。 感谢您的投入,以解决我们的问题。 /etc/sssd/sssd.conf [sssd] config_file_version = 2 debug_level = 0 domains = dom1.com, dom2.com services = nss, pam [domain/dom1.com] id_provider = […]
我正在使用运行AD DS的Windows 2012计算机设置新networking。 我有几个Ubuntu 14.04我想join域进行身份validation。 我已经成功地在这些服务器上使用realmd,sssd和adcli这样做,这非常简单。 但是,至less在另外两台服务器上,我无法获得相同的设置。 两者之间的巨大差异在于它们驻留在不同的子网中。 我已经检查: – 路由 – DNS – 禁用防火墙和DC上的所有防火墙规则。 我可以成功地发出一个kinit,但是,当adcli声称它不能联系KDC。 希望你们能指出我的失败。 亲切的问候 root @ lb02:〜#ip addr 1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00 inet 127.0.0.1/8 scope host lo valid_lft forever preferred_lft forever inet6 ::1/128 scope host valid_lft forever preferred_lft forever 2: […]
我正在寻找并尝试几个星期。 我到目前为止所做的:我使用ldap使用sssd进行身份validation。 这工作真的很棒! 我们需要通过使用ldap的sssd进行身份validation,因为AD是深嵌套的。 任何其他身份validation方法都需要很长时间才能login用户。 现在我们需要在Kerberos的情况下进行身份validation。 因此,“kinit”和input我的密码就足够了。 但是:我们会感激用户友好的login(Single Sign-On),所以我们需要构build一个自动的kinit进程。 凭证总是一样的(对于kerberos,ldap …) 作为操作系统,我们使用的Ubuntu 14.04,LDAP / AD也许是一个Windows Server 2008 R2,这是我们无法访问。 感谢您的想法!
我一直试图让这个工作可靠一段时间。 下面是细节: 具有SSSD授权的Centos 7到Active Directory(全function)在这里是sssd.conf文件: [sssd] domains = example config_file_version = 2 services = nss, pam [domain / example] realmd_tags = managing-system用sambajoinenumerate = false cache_credentials = false id_provider = ldap auth_provider = ldap ldap_schema = ad ldap_uri = ldaps://example.edu ldap_search_base = dc = example,dc = edu ldap_default_bind_dn = CN = useraccount,OU = people,DC = example,Dc […]
我有一个Centos 7服务器的专用networking。 每个服务器只能通过SSH堡垒到达。 而且,所有这些服务器都使用SSSD来针对LDAP目录validationSSH用户的密钥。 由于密钥是针对LDAP目录进行身份validation的,因此没有标准的authorized_keys文件。 二进制文件/usr/bin/sss_ssh_authorizedkeys不是通过一个标准的authorized_keys文件来pipe理一个针对LDAP的查询, sshd格式化为一个authorized_keys文件 – 但实际上并不是一个文件。 因此,就我所知,通过将RSA键绑定到commands=" … "条目来限制用户到特定的命令是不可能的。 SSH用户可以使用以下命令通过堡垒authentication他们的工作站: ssh -A -l [email protected] joes.workstation.ip -o ProxyCommand="ssh -l [email protected] -q bastion.ip nc joes.workstation.ip %p" 不幸的是,他们也能够在堡垒服务器上进行SSH会话,这是我不希望他们能够做到的。 无论如何,我可以使用我当前的工具 – SSSD,SSHD,一个LDAP目录 – 允许SSH用户通过堡垒,但不能进入堡垒?
我有我的Ubuntu 15.04服务器间歇性身份validation问题。 定期地,authentication将停止工作。 最终它将自行重新开始工作。 或者,如果我重新启动smbd和sssd,它将立即再次开始工作。 大约在auth问题的同一时间,我在/ var / log / syslog中看到这个错误: [sssd [ldap_child [4199]]]:使用keytab [MEMORY:/etc/krb5.keytab]初始化凭证失败:KDC不支持encryptiontypes。 无法创buildGSSAPIencryption的LDAP连接。 我的search引擎向我指出了将“allow_weak_crypto = true”添加到/etc/krb5.conf的libdefaults部分。 我试过,但无济于事。 我有一堆configuration为AD身份validation的CentOS 6服务器(同样的smb和sssdconfiguration等),他们都工作正常,没有任何问题。 任何人有任何其他的想法?
我已经将用户添加到LDAP中的一个组中。 用户在ldapsearch中显示。 但是,当我使用getent group my_group在RHEL实例上列出组成员时,用户不会显示出来。 假设这是因为SSSDcaching了组员资格,我是否正确? 当我尝试清除组的SSSDcaching时,它不会执行任何操作: # sss_cache -d LDAP -g my_group (Mon Dec 14 10:40:41:816191 2015) [sss_cache] [confdb_get_domain_internal] (0x0010): Unknown domain [LOCAL] (Mon Dec 14 10:40:41:816364 2015) [sss_cache] [confdb_get_domains] (0x0010): Error (2 [No such file or directory]) retrieving domain [LOCAL], skipping! # echo $? 0 具体来说,用户仍然不会出现在getent group my_group列表中。 当我在命令中指定“LDAP”域时,为什么要查找“LOCAL”域? 这是SSSDconfiguration # cat /etc/sssd/sssd.conf […]
我们有一些混合的RH5 / RH6服务器,需要对两个LDAP服务之一进行身份validation。 这是在SSSD中实施,运行良好。 来自任一域的用户都可以成功login,并且在用户名重叠的情况下,正确的域优先。 起皱是我们有一个脚本运行通过pam_exec只需要运行的两个域之一。 在PAM的更高版本(如RH6提供的版本)中,我可以像下面这样利用[domains=X]语法: account [default=bad success=done user_unknown=ignore] pam_sss.so domains=domain_without_login_script account [default=bad success=ok user_unknown=ignore] pam_sss.so domains=domain_with_login_script (我不知道这是行不通的,因为我没有testing它,因为在RH5系统上我没有这个function。对于第一个域,堆栈中的所有后续模块都被忽略;不知道如何如果需要,可以绕过这个) 无论如何,在RH5中,没有这样的标志给pam_sss,而且在PAM或login环境中没有任何东西可以看到包含这些信息。 例如,如果我可以有这样的事情,这将是很好的: #!/usr/bin/perl -w # do not process users from X domain exit(0) if $ENV{'SSSD_Domain'} eq "domain_without_login_script"; 到目前为止,我提出的唯一解决scheme是kludgy。 即使有用户名重叠,每个域的UID也会不同,因此,由于正在select正确的帐户,我可以检查UID: #!/usr/bin/perl -w # get authenticating user from environment use Env qw(PAM_USER); # do not process users […]
我有大量使用sssd连接到Windows活动目录域进行用户/组查找的Linux主机。 除了一个问题,大部分工作正常。 须藤 从我在testing中发现的任何时候你运行一个sudo命令sudo试图parsing用户所在的所有组的名称。由于sssd只默认cachinggid,并且必须慢速查找名称(假设最近在主机上没有导致sssdcaching组名),这可能会导致sudo命令在很多组中的帐户中暂停45秒,然后才会提示用户input密码以继续sudo命令。 从我的testing中,这个组名parsing发生,无论是否有适用于使用他们的组的用户的sudo规则。 我已经testing了在sudo.conf中改变group_source值,但是这似乎没有太大的影响。 从大多数组中删除我们的所有用户并不是一个真正的select(基础设施安全决定,我无法控制),所以我留下来试图find一种方法来阻止sudo暂停一段时间,而所有的组ID被抬起头来。 到目前为止唯一的解决scheme是每隔15分钟运行一次cronjob来做一些像getent group一样的事情,让sssd不断地将组名caching在内存中,但这似乎是一个黑客修复。 所以我希望在这种情况下网上有人可能有更好的解决scheme来加速sudo?
我在用户主目录中设置默认文件时遇到了一些麻烦。 该设置是一个Centos 7,我已经成功地让它join公司的领域,并通过我们的广告authentication。 我可以使用我的域用户名和密码login。 不过,我在第一次login时遇到了这个错误: Creating home directory for boonhean. Last login: Thu Jun 16 13:23:10 2016 Could not chdir to home directory /u/boonhean: No such file or directory 但是,该文件夹确实已经创build,我可以cd到它。 后续login也没有问题。 另外,我注意到我的/ etc / skel中的文件在创build过程中没有被复制到文件夹中。 它看起来不像一个权限问题,因为我可以从那里复制文件,当我作为用户login。 这是我在/etc/pam.d/system-auth中的内容 session optional pam_oddjob_mkhomedir.so skel=/etc/skel umask=0077 我GOOGLE了两天,但仍然无法find解决scheme。 谁能发现我错过了什么? 我可以手动将文件复制到/ etc / skel中,但是如果我必须要求所有的域用户这样做,那么这将很困难。 谢谢