Почему мой клиент IPA не распознает доверенных пользователей AD

Я установил IPA-сервер, создал соглашение о репликах и установил одностороннее доверие к нашему AD Forest. Серверы IPA интегрировали DNS и находятся в собственной зоне DNS. Это работает, как и ожидалось, я могу войти в IPA-серверы с моей учетной записью AD.

Моя проблема заключается в настройке клиента, я могу использовать пользователей IPA (например, admin), но не смог аутентифицироваться / войти в свою учетную запись AD.

Выполнение теста HBAC на сервере IPA подтвердило, что мой пользователь AD имеет доступ к клиенту. Я также могу успешно получить билет kerberos для пользователей AD на моем клиенте IPA.

Когда я выполняю идентификатор учетной записи AD из клиента IPA, я получаю

неизвестная ошибка пользователя

Когда я пытаюсь ssh, безопасные показы журналов, незаконный пользователь / неизвестный пользователь на базовый модуль проверки подлинности.

Детали окружающей среды:

  • Версия IPA 4.4.0
  • IPA-сервер: ipaserver01.ipa.us.example.com CentOS 7.3
  • Реплика IPA: ipaserver02.ipa.us.example.com CentOS 7.3
  • Клиент IPA: ipaclient.us.example.com CentOS 7.3
  • IPA REALM: IPA.US.EXAMPLE.COM
  • AD Forest: win.example.com
  • Пользователь: John.Doe@usa.win.example.com

/etc/sssd/sssd.conf:

[domain/ipa.us.example.com] cache_credentials = True krb5_store_password_if_offline = True ipa_domain = ipa.us.example.com id_provider = ipa auth_provider = ipa access_provider = ipa ldap_tls_cacert = /etc/ipa/ca.crt ipa_hostname = ipaclient.us.example.com chpass_provider = ipa ipa_server = _srv_, ipaserver02.ipa.us.example.com dns_discovery_domain = ipa.us.example.com subdomain_inherit = ignore_group_members ignore_group_members = True debug_level = 6 [sssd] domains = ipa.us.example.com config_file_version = 2 services = nss, sudo, pam, ssh, pac subdomain_enumerate = all debug_level = 6 [nss] debug_level = 6 homedir_substring = /home 

/etc/krb5.conf

 #File modified by ipa-client-install includedir /etc/krb5.conf.d/ includedir /var/lib/sss/pubconf/krb5.include.d/ [libdefaults] default_realm = IPA.US.EXAMPLE.COM dns_lookup_realm = true dns_lookup_kdc = true rdns = false ticket_lifetime = 24h forwardable = true udp_preference_limit = 0 default_ccache_name = KEYRING:persistent:%{uid} [realms] IPA.US.EXAMPLE.COM = { pkinit_anchors = FILE:/etc/ipa/ca.crt } [domain_realm] .ipa.us.example.com = IPA.US.EXAMPLE.COM ipa.us.example.com = IPA.US.EXAMPLE.COM ipaclient.us.example.com = IPA.US.EXAMPLE.COM .us.example.com = IPA.US.EXAMPLE.COM us.example.com = IPA.US.EXAMPLE.COM 

/ Вар / журнал / безопасный

 May 17 10:23:23 lxmatazan100s sshd[8256]: reverse mapping checking getaddrinfo for dhcp-ngkusernetworkuzo-1921690252.revonly.kn [192.169.0.252] failed - POSSIBLE BREAK-IN ATTEMPT! May 17 10:23:47 lxmatazan100s sshd[8256]: Invalid user John.Doe@usa.win.example.com from 192.169.0.252 May 17 10:23:47 lxmatazan100s sshd[8256]: input_userauth_request: invalid user John.Doe@usa.win.example.com [preauth] May 17 10:23:50 lxmatazan100s sshd[8256]: Failed password for invalid user John.Doe@usa.win.example.com from 192.169.0.252 port 51819 ssh2 May 17 10:23:53 lxmatazan100s sshd[8256]: Failed password for invalid user John.Doe@usa.win.example.com from 192.169.0.252 port 51819 ssh2 May 17 10:23:56 lxmatazan100s sshd[8256]: Failed password for invalid user John.Doe@usa.win.example.com from 192.169.0.252 port 51819 ssh2 May 17 10:23:56 lxmatazan100s sshd[8256]: error: PAM: User not known to the underlying authentication module for illegal user John.Doe@usa.win.example.com from 192.169.0.252 May 17 10:23:56 lxmatazan100s sshd[8256]: Failed keyboard-interactive/pam for invalid user John.Doe@usa.win.example.com from 192.169.0.252 port 51819 ssh2 May 17 10:23:56 lxmatazan100s sshd[8256]: Connection closed by 192.169.0.252 [preauth] 

/var/log/sssd/sssd_ipa.us.example.com (Эти записи существуют для каждого домена в лесу AD, несколько раз!)

 (Wed May 17 08:25:50 2017) [sssd[be[ipa.us.example.com]]] [_dp_req_recv] (0x0400): DP Request [Account #134]: Receiving request data. (Wed May 17 08:25:50 2017) [sssd[be[ipa.us.example.com]]] [dp_req_reply_gen_error] (0x0080): DP Request [Account #134]: Finished. Backend is currently offline. (Wed May 17 08:25:50 2017) [sssd[be[ipa.us.example.com]]] [dp_table_value_destructor] (0x0400): Removing [0:1:0x0001:1:1:U:usa.win.example.com:name=john.doe@usa.win.example.com] from reply table (Wed May 17 08:25:50 2017) [sssd[be[ipa.us.example.com]]] [dp_req_destructor] (0x0400): DP Request [Account #134]: Request removed. (Wed May 17 08:25:50 2017) [sssd[be[ipa.us.example.com]]] [dp_req_destructor] (0x0400): Number of active DP request: 0 

/var/log/sssd/sssd_nss.log

(Опять же, они существуют для каждого домена в лесу AD)

 (Wed May 17 08:25:50 2017) [sssd[nss]] [nss_cmd_getpwnam_search] (0x0100): Requesting info for [john.doe@usa.win.example.com] (Wed May 17 08:25:50 2017) [sssd[nss]] [sysdb_search_user_by_upn] (0x0400): No entry with upn [john.doe@usa.win.example.com] found. (Wed May 17 08:25:50 2017) [sssd[nss]] [get_dp_name_and_id] (0x0400): Not a LOCAL view, continuing with provided values. (Wed May 17 08:25:50 2017) [sssd[nss]] [sss_dp_issue_request] (0x0400): Issuing request for [0x7f99f622c880:1:john.doe@usa.win.example.com:U@usa.win.example.com] (Wed May 17 08:25:50 2017) [sssd[nss]] [sss_dp_get_account_msg] (0x0400): Creating request for [usa.win.example.com][0x1][BE_REQ_USER][1][name=john.doe@usa.win.example.com:U] (Wed May 17 08:25:50 2017) [sssd[nss]] [sss_dp_internal_get_send] (0x0400): Entering request [0x7f99f622c880:1:john.doe@usa.win.example.com:U@usa.win.example.com] (Wed May 17 08:25:50 2017) [sssd[nss]] [sss_dp_req_destructor] (0x0400): Deleting request: [0x7f99f622c880:1:john.doe@usa.win.example.com:U@nw.win.example.com] (Wed May 17 08:25:50 2017) [sssd[nss]] [sss_dp_get_reply] (0x0010): The Data Provider returned an error [org.freedesktop.sssd.Error.DataProvider.Offline] (Wed May 17 08:25:50 2017) [sssd[nss]] [nss_cmd_getby_dp_callback] (0x0040): Unable to get information from Data Provider Error: 3, 5, Failed to get reply from Data Provider Will try to return what we have in cache 

Единственное, что я попробовал, – это перевести клиента в домен dns ipa.us.example.com, хотя в документации конкретно упоминаются клиенты, которые не должны находиться в том же домене DNS, что и сервер.

EDIT ** – Я ранее прокомментировал строку /etc/pam.d/password-auth, считая, что она исправила аутентификацию пользователей ipa (без доверия). Теперь я думаю, что это разрешает любому пользователю аутентифицироваться, потому что, когда я удалял пользователя из правила HBAC, он все еще мог аутентифицироваться. Я раскоментировал эту строку, и теперь пользователи IPA не могут аутентифицироваться. Я все еще могу найти для этих пользователей (а не пользователей AD).

/etc/pam.d/password-auth

 #%PAM-1.0 # This file is auto-generated. # User changes will be destroyed the next time authconfig is run. auth required pam_env.so auth [default=1 success=ok] pam_localuser.so auth [success=done ignore=ignore default=die] pam_unix.so nullok try_first_pass auth requisite pam_succeed_if.so uid >= 1000 quiet_success auth sufficient pam_sss.so forward_pass auth required pam_deny.so account required pam_unix.so account sufficient pam_localuser.so account sufficient pam_succeed_if.so uid < 1000 quiet #The following line is what I had commented out account [default=bad success=ok user_unknown=ignore] pam_sss.so account required pam_permit.so password requisite pam_pwquality.so try_first_pass local_users_only retry=3 authtok_type= password sufficient pam_unix.so sha512 shadow nullok try_first_pass use_authtok password sufficient pam_sss.so use_authtok password required pam_deny.so session optional pam_keyinit.so revoke session required pam_limits.so -session optional pam_systemd.so session optional pam_oddjob_mkhomedir.so umask=0077 session [success=1 default=ignore] pam_succeed_if.so service in crond quiet use_uid session required pam_unix.so session optional pam_sss.so 

РЕДАКТИРОВАТЬ № 2 **

Я теперь получил ipa пользователей для работы с моим клиентом, я должен был включить «selinux_provider = none» в разделе [domain / ipa.us.example.com] sssd.conf. Пользователи AD Trust все еще не работают с одинаковыми ошибками.

Interesting Posts

Разница между / usr / bin и / usr / local / bin

вывод технологического процесса на команду split by line и whitespace

Как использовать grep с шаблонами в файле и получить количество вхождений каждого шаблона?

Linux обнаруживает только 2 ГБ ОЗУ

Почему именованный канал работает медленнее, чем запись в файл?

Linux: Total swap used = swap, используемый процессами +?

XMing – «XIO: фатальная ошибка ввода-вывода 11

Как остановить фоновые процессы, запущенные с экрана

sudo: «эффективный uid не равен 0, sudo установлен setuid root?» на малине Pi

Чтение Системные руководства и большие файлы

Какая версия Ubuntu – это моя установка Mint Linux на основе?

Как искать и заменять текст во всех php-файлах в каталоге и в его подкаталогах

Как эхо в сценарии оболочки без выполнения результата

Что вы делаете для сканирования с разрешением 600 dpi при работе с небольшим выходным файлом?

Как использовать файлы ПК MonoDevelop с условными именами условных обозначений UNIX?

Linux и Unix - лучшая ОС в мире.