我正在尝试与CentOS 7.3服务器和客户端build立一个IPA环境,我正在经历一个我无法理解的行为。 我正在使用IPA版本4.4.0。
我能够在ipa-server-install
上运行ipa-server-install
,而在ipa-client-install
上运行ipa-server-install
ipa-client-install
却没有任何问题。 然后,除了已经存在的用户admin
,我还添加了一个新的用户foo
,这个用户admin
由IPA自动设置用于pipe理。
现在到了奇怪的部分:
我能够在客户端机器上为admin
和foo
获取kinit <user>
的Kerberos票据。 所以看起来安装程序成功了,我可以在所有主机上获得一个Kerberos票证,如果以root身份login, su - foo
也可以正常工作。 另外,当我尝试通过sshlogin到IPA 服务器机器时,比如说ssh foo@servermachine
,它就像一个魅力一样。 但是,如果我尝试login到IPA 客户机,即ssh foo@clientmachine
我立即断开连接:
! user@machine >ssh foo@clientmachine Password: foo@clientmachine's password: Connection closed by 172.27.0.104
有趣的是,ssh要求密码两次。 ssh -vvv
在第二次密码尝试后产生:
foo@clientmachine's password: debug3: packet_send2: adding 64 (len 57 padlen 7 extra_pad 64) debug2: we sent a password packet, wait for reply Connection closed by 172.27.0.104
更有趣的一面是在客户端(ssh服务器),其中journalctl -xeft sshd
第一次input密码后显示此消息:
Jun 29 15:53:00 clientmachine sshd[5464]: pam_sss(sshd:auth): authentication success; logname= uid=0 euid=0 tty=ssh ruser= rhost=machine.domain.com user=foo Jun 29 15:53:00 clientmachine sshd[5464]: pam_krb5[5464]: TGT verified using key for 'host/clientmachine@REALM' Jun 29 15:53:00 clientmachine sshd[5464]: pam_krb5[5464]: authentication succeeds for 'foo' (foo@REALM) Jun 29 15:53:01 clientmachine sshd[5464]: pam_sss(sshd:account): Access denied for user foo: 4 (System error) Jun 29 15:53:01 clientmachine sshd[5461]: error: PAM: User account has expired for foo from machine.domain.com
第二次:
Jun 29 15:56:10 clientmachine sshd[5483]: pam_sss(sshd:auth): authentication success; logname= uid=0 euid=0 tty=ssh ruser= rhost=machine.domain.com user=foo Jun 29 15:56:10 clientmachine sshd[5483]: pam_krb5[5483]: TGT verified using key for 'host/clientmachine@REALM' Jun 29 15:56:10 clientmachine sshd[5483]: pam_krb5[5483]: authentication succeeds for 'foo' (foo@REALM) Jun 29 15:56:10 clientmachine sshd[5483]: Failed password for foo from 10.128.34.50 port 55327 ssh2 Jun 29 15:56:10 clientmachine sshd[5483]: fatal: Access denied for user foo by PAM account configuration [preauth]
我仔细检查了帐户没有过期,而且,如前所述,如果我连接到IPA服务器机器,通过ssh作为用户foologin没有问题。 相应的sshd
日志:
Jun 29 16:00:11 servermachine sshd[29995]: pam_sss(sshd:auth): authentication success; logname= uid=0 euid=0 tty=ssh ruser= rhost=machine.domain.com user=foo Jun 29 16:00:11 servermachine sshd[29992]: Accepted keyboard-interactive/pam for foo from 10.128.34.50 port 34662 ssh2 Jun 29 16:00:11 servermachine sshd[29992]: pam_unix(sshd:session): session opened for user foo by (uid=0)
总结:
kinit foo
:Works kinit foo
:Works su - foo
:Works su - foo
以root用户身份login到客户机时:Works ssh foo@servermachine
:Works ssh foo@clientmachine
: 不行! ,SSH客户端立即断开连接 我无法理解发生了什么,我将不胜感激任何帮助!
您不应该将pam_krb5
与pam_sss
并行使用。 你为什么configuration?