Почему мой клиент IPA не распознает доверенных пользователей AD

Я установил IPA-сервер, создал соглашение о репликах и установил одностороннее доверие к нашему AD Forest. Серверы IPA интегрировали DNS и находятся в собственной зоне DNS. Это работает, как и ожидалось, я могу войти в IPA-серверы с моей учетной записью AD.

Моя проблема заключается в настройке клиента, я могу использовать пользователей IPA (например, admin), но не смог аутентифицироваться / войти в свою учетную запись AD.

Выполнение теста HBAC на сервере IPA подтвердило, что мой пользователь AD имеет доступ к клиенту. Я также могу успешно получить билет kerberos для пользователей AD на моем клиенте IPA.

Когда я выполняю идентификатор учетной записи AD из клиента IPA, я получаю

неизвестная ошибка пользователя

Когда я пытаюсь ssh, безопасные показы журналов, незаконный пользователь / неизвестный пользователь на базовый модуль проверки подлинности.

Детали окружающей среды:

  • Версия IPA 4.4.0
  • IPA-сервер: ipaserver01.ipa.us.example.com CentOS 7.3
  • Реплика IPA: ipaserver02.ipa.us.example.com CentOS 7.3
  • Клиент IPA: ipaclient.us.example.com CentOS 7.3
  • IPA REALM: IPA.US.EXAMPLE.COM
  • AD Forest: win.example.com
  • Пользователь: John.Doe@usa.win.example.com

/etc/sssd/sssd.conf:

[domain/ipa.us.example.com] cache_credentials = True krb5_store_password_if_offline = True ipa_domain = ipa.us.example.com id_provider = ipa auth_provider = ipa access_provider = ipa ldap_tls_cacert = /etc/ipa/ca.crt ipa_hostname = ipaclient.us.example.com chpass_provider = ipa ipa_server = _srv_, ipaserver02.ipa.us.example.com dns_discovery_domain = ipa.us.example.com subdomain_inherit = ignore_group_members ignore_group_members = True debug_level = 6 [sssd] domains = ipa.us.example.com config_file_version = 2 services = nss, sudo, pam, ssh, pac subdomain_enumerate = all debug_level = 6 [nss] debug_level = 6 homedir_substring = /home 

/etc/krb5.conf

 #File modified by ipa-client-install includedir /etc/krb5.conf.d/ includedir /var/lib/sss/pubconf/krb5.include.d/ [libdefaults] default_realm = IPA.US.EXAMPLE.COM dns_lookup_realm = true dns_lookup_kdc = true rdns = false ticket_lifetime = 24h forwardable = true udp_preference_limit = 0 default_ccache_name = KEYRING:persistent:%{uid} [realms] IPA.US.EXAMPLE.COM = { pkinit_anchors = FILE:/etc/ipa/ca.crt } [domain_realm] .ipa.us.example.com = IPA.US.EXAMPLE.COM ipa.us.example.com = IPA.US.EXAMPLE.COM ipaclient.us.example.com = IPA.US.EXAMPLE.COM .us.example.com = IPA.US.EXAMPLE.COM us.example.com = IPA.US.EXAMPLE.COM 

/ Вар / журнал / безопасный

 May 17 10:23:23 lxmatazan100s sshd[8256]: reverse mapping checking getaddrinfo for dhcp-ngkusernetworkuzo-1921690252.revonly.kn [192.169.0.252] failed - POSSIBLE BREAK-IN ATTEMPT! May 17 10:23:47 lxmatazan100s sshd[8256]: Invalid user John.Doe@usa.win.example.com from 192.169.0.252 May 17 10:23:47 lxmatazan100s sshd[8256]: input_userauth_request: invalid user John.Doe@usa.win.example.com [preauth] May 17 10:23:50 lxmatazan100s sshd[8256]: Failed password for invalid user John.Doe@usa.win.example.com from 192.169.0.252 port 51819 ssh2 May 17 10:23:53 lxmatazan100s sshd[8256]: Failed password for invalid user John.Doe@usa.win.example.com from 192.169.0.252 port 51819 ssh2 May 17 10:23:56 lxmatazan100s sshd[8256]: Failed password for invalid user John.Doe@usa.win.example.com from 192.169.0.252 port 51819 ssh2 May 17 10:23:56 lxmatazan100s sshd[8256]: error: PAM: User not known to the underlying authentication module for illegal user John.Doe@usa.win.example.com from 192.169.0.252 May 17 10:23:56 lxmatazan100s sshd[8256]: Failed keyboard-interactive/pam for invalid user John.Doe@usa.win.example.com from 192.169.0.252 port 51819 ssh2 May 17 10:23:56 lxmatazan100s sshd[8256]: Connection closed by 192.169.0.252 [preauth] 

/var/log/sssd/sssd_ipa.us.example.com (Эти записи существуют для каждого домена в лесу AD, несколько раз!)

 (Wed May 17 08:25:50 2017) [sssd[be[ipa.us.example.com]]] [_dp_req_recv] (0x0400): DP Request [Account #134]: Receiving request data. (Wed May 17 08:25:50 2017) [sssd[be[ipa.us.example.com]]] [dp_req_reply_gen_error] (0x0080): DP Request [Account #134]: Finished. Backend is currently offline. (Wed May 17 08:25:50 2017) [sssd[be[ipa.us.example.com]]] [dp_table_value_destructor] (0x0400): Removing [0:1:0x0001:1:1:U:usa.win.example.com:name=john.doe@usa.win.example.com] from reply table (Wed May 17 08:25:50 2017) [sssd[be[ipa.us.example.com]]] [dp_req_destructor] (0x0400): DP Request [Account #134]: Request removed. (Wed May 17 08:25:50 2017) [sssd[be[ipa.us.example.com]]] [dp_req_destructor] (0x0400): Number of active DP request: 0 

/var/log/sssd/sssd_nss.log

(Опять же, они существуют для каждого домена в лесу AD)

 (Wed May 17 08:25:50 2017) [sssd[nss]] [nss_cmd_getpwnam_search] (0x0100): Requesting info for [john.doe@usa.win.example.com] (Wed May 17 08:25:50 2017) [sssd[nss]] [sysdb_search_user_by_upn] (0x0400): No entry with upn [john.doe@usa.win.example.com] found. (Wed May 17 08:25:50 2017) [sssd[nss]] [get_dp_name_and_id] (0x0400): Not a LOCAL view, continuing with provided values. (Wed May 17 08:25:50 2017) [sssd[nss]] [sss_dp_issue_request] (0x0400): Issuing request for [0x7f99f622c880:1:john.doe@usa.win.example.com:U@usa.win.example.com] (Wed May 17 08:25:50 2017) [sssd[nss]] [sss_dp_get_account_msg] (0x0400): Creating request for [usa.win.example.com][0x1][BE_REQ_USER][1][name=john.doe@usa.win.example.com:U] (Wed May 17 08:25:50 2017) [sssd[nss]] [sss_dp_internal_get_send] (0x0400): Entering request [0x7f99f622c880:1:john.doe@usa.win.example.com:U@usa.win.example.com] (Wed May 17 08:25:50 2017) [sssd[nss]] [sss_dp_req_destructor] (0x0400): Deleting request: [0x7f99f622c880:1:john.doe@usa.win.example.com:U@nw.win.example.com] (Wed May 17 08:25:50 2017) [sssd[nss]] [sss_dp_get_reply] (0x0010): The Data Provider returned an error [org.freedesktop.sssd.Error.DataProvider.Offline] (Wed May 17 08:25:50 2017) [sssd[nss]] [nss_cmd_getby_dp_callback] (0x0040): Unable to get information from Data Provider Error: 3, 5, Failed to get reply from Data Provider Will try to return what we have in cache 

Единственное, что я попробовал, – это перевести клиента в домен dns ipa.us.example.com, хотя в документации конкретно упоминаются клиенты, которые не должны находиться в том же домене DNS, что и сервер.

EDIT ** – Я ранее прокомментировал строку /etc/pam.d/password-auth, считая, что она исправила аутентификацию пользователей ipa (без доверия). Теперь я думаю, что это разрешает любому пользователю аутентифицироваться, потому что, когда я удалял пользователя из правила HBAC, он все еще мог аутентифицироваться. Я раскоментировал эту строку, и теперь пользователи IPA не могут аутентифицироваться. Я все еще могу найти для этих пользователей (а не пользователей AD).

/etc/pam.d/password-auth

 #%PAM-1.0 # This file is auto-generated. # User changes will be destroyed the next time authconfig is run. auth required pam_env.so auth [default=1 success=ok] pam_localuser.so auth [success=done ignore=ignore default=die] pam_unix.so nullok try_first_pass auth requisite pam_succeed_if.so uid >= 1000 quiet_success auth sufficient pam_sss.so forward_pass auth required pam_deny.so account required pam_unix.so account sufficient pam_localuser.so account sufficient pam_succeed_if.so uid < 1000 quiet #The following line is what I had commented out account [default=bad success=ok user_unknown=ignore] pam_sss.so account required pam_permit.so password requisite pam_pwquality.so try_first_pass local_users_only retry=3 authtok_type= password sufficient pam_unix.so sha512 shadow nullok try_first_pass use_authtok password sufficient pam_sss.so use_authtok password required pam_deny.so session optional pam_keyinit.so revoke session required pam_limits.so -session optional pam_systemd.so session optional pam_oddjob_mkhomedir.so umask=0077 session [success=1 default=ignore] pam_succeed_if.so service in crond quiet use_uid session required pam_unix.so session optional pam_sss.so 

РЕДАКТИРОВАТЬ № 2 **

Я теперь получил ipa пользователей для работы с моим клиентом, я должен был включить «selinux_provider = none» в разделе [domain / ipa.us.example.com] sssd.conf. Пользователи AD Trust все еще не работают с одинаковыми ошибками.

Interesting Posts

Steam In Home Streaming от Ubuntu до macOS через VPN

Как отличаться между зависимостями построения и зависимостями от использования?

Сохранять соотношение сторон в режиме

Как просмотреть метаданные локальных / загруженных файлов .deb в Debian

Создание новой виртуальной машины SLES 12 на XenServer 6.5 не выполняется

Приостановка процесса с помощью -SIGSTOP для достаточно длинных причин. Ядро Oops Stack Overflow

Tail -f передается через grep, не выводящий в файл, но выводит на консоль

Невозможно установить яркость и гамма яркости xrandr

Проблема с мета-ключом на Emacs

Почему в реальном времени может быть меньше времени пользователя

Добавление нового жесткого диска в VirtualBox Linux VM и установка его на уже установленную точку монтирования – что происходит со старым контентом?

Лучший способ запуска одиночного цикла вместо двух для циклов

Хорошее программное обеспечение FTP для рабочего стола Debian для домашних сетей

Обход пароля пароля ssh из сценария оболочки

Могу ли я отправлять электронную почту в фоновом режиме в Mutt, но при этом уведомляются об ошибках?

Linux и Unix - лучшая ОС в мире.