服务器 Gind.cn
  1. 服务器 Gind.cn
  3. 通过ssh连接到一个freeIPA客户端主机的问题
Intereting Posts
HP Proliant ML110 POST连接大型(4GB)USB磁盘失败 批量重命名以点结尾的文件 亚马逊EC2:我将如何configuration全球公共Web应用程序的EC2? Docker可以帮助我在Ubuntu上安装Oracle 11g数据库吗? NGINXredirect不存在的域 mod_proxy将所有子域指向一个后端 Postfix的正则expression式为smtpd_command_filter Linux绑定接口定期挂起 MYSQL权限:访问拒绝用户'debian-sys-maint'@'localhost PHP作为CGI二进制文件安装时,无法在根文件夹中执行index.php 将用户从一个Active Directory域迁移到另一个? 使用mod_rewrite将index.html重写到cgi-bin文件夹中 ORA-27101:共享内存领域不存在 如何在OSX命令行中更改php二进制位置 Windows XP事件日志大小的推荐设置

通过ssh连接到一个freeIPA客户端主机的问题

我正在尝试与CentOS 7.3服务器和客户端build立一个IPA环境,我正在经历一个我无法理解的行为。 我正在使用IPA版本4.4.0。

我能够在ipa-server-install上运行ipa-server-install ,而在ipa-client-install上运行ipa-server-install ipa-client-install却没有任何问题。 然后,除了已经存在的用户admin ,我还添加了一个新的用户foo ,这个用户admin由IPA自动设置用于pipe理。

现在到了奇怪的部分:

我能够在客户端机器上为adminfoo获取kinit <user>的Kerberos票据。 所以看起来安装程序成功了,我可以在所有主机上获得一个Kerberos票证,如果以root身份loginsu - foo也可以正常工作。 另外,当我尝试通过sshlogin到IPA 服务器机器时,比如说ssh foo@servermachine ,它就像一个魅力一样。 但是,如果我尝试login到IPA 客户机,即ssh foo@clientmachine我立即断开连接: 

 ! user@machine >ssh foo@clientmachine Password: foo@clientmachine's password: Connection closed by 172.27.0.104

有趣的是,ssh要求密码两次。 ssh -vvv在第二次密码尝试后产生: 

 foo@clientmachine's password: debug3: packet_send2: adding 64 (len 57 padlen 7 extra_pad 64) debug2: we sent a password packet, wait for reply Connection closed by 172.27.0.104

更有趣的一面是在客户端(ssh服务器),其中journalctl -xeft sshd第一次input密码后显示此消息: 

 Jun 29 15:53:00 clientmachine sshd[5464]: pam_sss(sshd:auth): authentication success; logname= uid=0 euid=0 tty=ssh ruser= rhost=machine.domain.com user=foo Jun 29 15:53:00 clientmachine sshd[5464]: pam_krb5[5464]: TGT verified using key for 'host/clientmachine@REALM' Jun 29 15:53:00 clientmachine sshd[5464]: pam_krb5[5464]: authentication succeeds for 'foo' (foo@REALM) Jun 29 15:53:01 clientmachine sshd[5464]: pam_sss(sshd:account): Access denied for user foo: 4 (System error) Jun 29 15:53:01 clientmachine sshd[5461]: error: PAM: User account has expired for foo from machine.domain.com

第二次: 

 Jun 29 15:56:10 clientmachine sshd[5483]: pam_sss(sshd:auth): authentication success; logname= uid=0 euid=0 tty=ssh ruser= rhost=machine.domain.com user=foo Jun 29 15:56:10 clientmachine sshd[5483]: pam_krb5[5483]: TGT verified using key for 'host/clientmachine@REALM' Jun 29 15:56:10 clientmachine sshd[5483]: pam_krb5[5483]: authentication succeeds for 'foo' (foo@REALM) Jun 29 15:56:10 clientmachine sshd[5483]: Failed password for foo from 10.128.34.50 port 55327 ssh2 Jun 29 15:56:10 clientmachine sshd[5483]: fatal: Access denied for user foo by PAM account configuration [preauth]

我仔细检查了帐户没有过期,而且,如前所述,如果我连接到IPA服务器机器,通过ssh作为用户foologin没有问题。 相应的sshd日志: 

 Jun 29 16:00:11 servermachine sshd[29995]: pam_sss(sshd:auth): authentication success; logname= uid=0 euid=0 tty=ssh ruser= rhost=machine.domain.com user=foo Jun 29 16:00:11 servermachine sshd[29992]: Accepted keyboard-interactive/pam for foo from 10.128.34.50 port 34662 ssh2 Jun 29 16:00:11 servermachine sshd[29992]: pam_unix(sshd:session): session opened for user foo by (uid=0)

总结:

  • 服务器机器上的kinit foo :Works
  • 客户机上的kinit foo :Works
  • 在服务器机器上以超级用户身份login时, su - foo :Works
  • su - foo以root用户身份login到客户机时:Works
  • ssh foo@servermachine :Works
  • ssh foo@clientmachine不行! ,SSH客户端立即断开连接

我无法理解发生了什么,我将不胜感激任何帮助!

您不应该将pam_krb5pam_sss并行使用。 你为什么configuration?