我们正在考虑使用基于LDAP的身份和访问pipe理设置与VMware vCloud和OpenStack Nova计算虚拟机。 VMware vCloud和OpenStack Nova计算虚拟机是自助服务的,因为最终用户(非pipe理员)可以根据需要创build虚拟机。 目前,我们将ldap_access_filter设置为((memberOf = cn = System Adminstrators,ou = Groups,dc = example,dc = com)),以允许访问LINUX / UNIX机器的人员。 由于最终用户不属于该组,所以他/她无法login。 我们想自动将创build虚拟机的最终用户添加到ldap_access_filter。 另外,由于我们在LDAP中pipe理Sudo规则,所以我们希望自动为该VM创build一个Sudo规则,并使用户为该规则创build一个Sudo规则。 任何想法如何最好地devise这个? 也许我们正在过度思考这个问题,并且有一个更简单的解决scheme。 最终目标是除了系统pipe理员LDAP组以外,创build虚拟机的最终用户还应具有对该虚拟机的完全访问权限。
Centos 7服务器join到abc.com,authentication正在使用authlite进行双因素authentication。 子域创build了a.abc.com,但authentication不适用于子域。 服务器可以连接到两个域吗? [root@server01 sssd]# more /etc/sssd/sssd.conf [sssd] domains = abc.com config_file_version = 2 services = nss, pam [domain/abc.com] id_provider = ad access_provider = simple realmd_tags = manages-system joined-with-samba ad_domain = abc.com ad_server = serverdc01.abc.com,serverdc02.abc.com,_srv_ !adding in subdomain line below – SG 1-20-2017 subdomain_enumerate = all krb5_realm = ABC.COM default_shell = /bin/bash ldap_id_mapping = […]
我们使用SSSD在Centos 7.3 build 1611上提供AD身份validation和kerberos TGT获取。 这对大多数99%的用户来说是正确的,但是我们遇到了一个问题,那就是密码更改后(通过Windows PC),单个用户不能再login到Centos(但是可以loginWindows和其他相关的AD / LDAP服务 – 电子邮件等) 我们已经尝试过跟踪,包括SSH和SSSD,重置pam_faillock条目,提供不同的服务器(通过realmd连接到同一个AD域),但是我们仍然看到一条消息,指出用户的密码不正确。 如果我们尝试和kinit作为失败的用户,也会失败,通常的消息指出密码不正确: kinit:获取初始凭证时,预authentication失败 我已经检查了我所能做到的 – 对于我未经训练的人来说,这看起来不像Centos / SSSD问题,而是中心问题。 然而,你有没有试过去ADpipe理员这样的模糊的东西? 🙂 只是想知道是否有人看到这样的事情,如果有什么我们可以做的修复。 SSD追踪debugging7 – krb5_child.log: (Fri Apr 21 12:40:17 2017) [[sssd[krb5_child[2488]]]] [main] (0x0400): krb5_child started. (Fri Apr 21 12:40:17 2017) [[sssd[krb5_child[2488]]]] [unpack_buffer] (0x1000): total buffer size: [133] (Fri Apr 21 12:40:17 2017) [[sssd[krb5_child[2488]]]] [unpack_buffer] (0x0100): […]
有没有人看到他们的Linux服务器由于过期的机器凭据而从AD域中删除? 我们使用sssd-1.13.3-56.el6(Centos 6) 根据“ https://bugzilla.redhat.com/show_bug.cgi?id=1290761”,sssd应该能够自动更新主机凭证。 没有提到在每个相关红帽文档(“将红帽企业Linux 6与Active Directory集成”)joinAD时应该采取的额外configuration步骤。 根据我的search,一些运行cron作业来更新主机凭据“ https://lists.fedorahosted.org/archives/list/[email protected]/thread/CRA43XHHDBPAENAYJ3INUWSCE2Q2NB5W/ ” SSSD Kerberos AD Centos故障排除 我们是否需要一个cron作业来运行:“msktutil –auto-update”和“kinit -k $”? 或者sssd应该可以处理这个? 您是否在sssd.conf中设置了“ad_maximum_machine_account_password_age”,或者将其保留默认30天。 干杯, 更新:@jhrozek,谢谢你的评论。 我仍然看到与我的configuration相同的问题。 看起来票5月28日没有得到更新,服务器退出了领域: # net ads testjoin kerberos_kinit_password [email protected] failed: Preauthentication failed kerberos_kinit_password [email protected] failed: Preauthentication failed Join to domain is not valid: Logon failure 密钥表状态: # klist -kt Keytab name: FILE:/etc/krb5.keytab KVNO […]
我在FreeBSD 10.3中遇到很多问题 我发现二进制包是相当无用的。 我必须build立几乎所有的东西来使事情“工作”。 我喜欢使用adcli工具来join一个域(比samba好多了)。 但是pkg中的二进制版本不起作用。 从启用所有明显的东西的端口构build它使其工作。 在这一点上,我已经达到了能够成功做一个“getent”的程度,但不pipe我尝试什么,都不会授权我的账户。 SSH,sudo,甚至直接运行login,它的行为就像我有一个错误的密码。 我想知道是否需要使用heimdal krb包而不是MIT? 这里是我的相关configuration: krb5.conf的: [libdefaults] default_realm = MYDOMAIN-SR.NET forwardable = true [realms] MYDOMAIN-SR.NET = { admin_server = ad.mydomain-sr.net kdc = ad.mydomain-sr.net } [domain_realm] mydomain.net = MYDOMAIN-SR.NET .mydomain.net = MYDOMAIN-SR.NET MYDOMAIN.net = MYDOMAIN-SR.NET .MYDOMAIN.net = MYDOMAIN-SR.NET nsswitch.conf的: # # nsswitch.conf(5) – name service switch configuration file # […]
我有一个关于检查使用SSSD的Linux(CentOS 6)系统的AD域join状态的问题。 对于初始域join,我使用winbind“net ads join -k …”获得主机keytab等。当我发出“net ads testjoin”时,我得到“Join OK”。 一个月后,SSSD / adcli更新机器密码,并且我得到一个新的主机密钥表。 当我使用相同的net ads testjoin命令检查域join状态时,出现错误: kerberos_kinit_password [email protected] failed: Preauthentication failed 我仍然可以使用新的密钥表获得主机票,并使用“networking广告状态”命令检查状态。 我可以看到与密钥表上的时间戳相匹配的“pwdLastSet:131463365324203378”。 “getent passwd”也是成功的; 我仍然可以login到服务器。 主机使用AD更新机器密码后,为什么“net ads testjoin”给出错误? 有没有更好的方法来testing域join状态? 谢谢。
我们将/ home目录存储在NetApp SVN上,并使用Kerberos将它们自动挂载为NFSv4。 这似乎在RHEL7.x上完美运行,但无论我们尝试什么,它都不能在Ubuntu 14.04或16.04中运行。 RHEL和Ubuntu都使用SSSD,并使用realmdjoin同一个域。 我比较了RHEL和Ubuntu之间的所有configuration(krb5.conf,sssd.conf,resolv.conf,nsswitch.conf,idmapd.conf,所有的pamconfiguration等),设置都是一样的。 我比较了RHEL中已安装的pam,krb5,sssd,nfs等软件包,并在Ubuntu上安装了所有可比较的软件包。 所有服务都已成功启动。 防火墙完全禁用。 RHEL和Ubuntu都禁用了SELinux。 两者都有相同服务主体的krb5.keytab文件。 出于某种原因,在Ubuntu机器上,当用户login时,sssd日志表明服务票证被授予,但是当您以该用户身份运行“klist”时,只有TGT被列出。 通过debuggingautofs,在Ubuntu上显示: attempting to mount entry /home/user >> mount.nfs4: access denied by server while mounting 10.4.195.9:/NetAppSVM_Home/user >> mount.nfs4: access denied by server while mounting 10.4.195.8:/NetAppSVM_Home/user mount(nfs): nfs: mount failure files.uconn.edu:/NetAppSVM_Home/user on /home/user failed to mount /home/user 我们在RHEL和Ubuntu上的/etc/auto.home看起来像: * -fstype=nfs4,sec=krb5,user=&,uid=$UID,gid=$GID,cruid=$UID files.univ.edu:/NetAppSVM_Home/& 两台机器都在同一个子网上。 用户成功通过身份validation,但出于某种原因,自动挂载/ home可以在RHEL而不是Ubuntu上运行。 […]
我在公司环境中使用RHEL7和SSSD来对Active Directory进行身份validation。 定期身份validation正常。 我设法让NFSv4服务器与NFSv4客户端一起使用,都使用相同的域与Kerberos和SSSD,但只能以交互方式(即:SSSD在login时自动创build票证或手动使用kinit)。 这些NFS共享的目的是存储一些需要从应用用户(即httpd或tomcat)访问的内容。 这种部署的最佳方法是以非交互方式使访问成为可能? 提前致谢;
我正在用sssd为linux服务器设置ldapauthentication。 一切正常。 但是,来自ldap服务器的用户具有默认的组User。 这是, uid = 10001(larry),gid = 20001(User),groups = 20001(User),20002(dev) 我想知道是否有重写/过滤默认的用户组,所以它会是这样的? uid = 10001(larry),gid = 10001(larry),groups = 20002(dev),就像默认的linux用户/组, 要么 uid = 10001(larry),gid = 20002(dev),groups = 20002(dev)
说这一切真的在标题:) 我正在研究SSSD,但要求必须使用ldap-1进行用户身份validation,然后从ldap-2获取主目录自动安装信息。 无休止的谷歌search没有给我提供明确的答案。 对于额外的信息,两个ldap服务器共享相同的用户名,并且不能将自动挂载信息添加到ldap-1。 目前sssd.conf [sssd] config_file_version = 2 reconnection_retries = 3 sbus_timeout = 30 services = nss, pam, autofs domains = ldap-1, ldap-2 [nss] filter_groups = root filter_users = root reconnection_retries = 3 [pam] reconnection_retries = 3 [autofs] [domain/ldap-1] ldap_id_use_start_tls = True cache_credentials = True ldap_search_base = redacted enumerate = True chpass_provider = ldap […]