înregistrare Logare
Puncte:0
AAABL avatar Server

Eroare de autentificare Ubuntu SSSD cu domeniul AD copil/sub

drapel in
AAABL

Aveți nevoie de ajutor pentru autentificarea serverului Linux (Ubuntu) care este conectat la domeniul copil. Pot vedea numele serverului pe controlerul de domeniu și pot rula cu succes testul de autentificare, totuși nu mă pot autentifica cu contul meu de domeniu. Se pare că setările de configurare undeva pentru configurația SSSD sau KRB5 trebuie să specifice domeniul copil. De asemenea, nu este o problemă de încredere în domeniu, deoarece serverele Windows conectate la domeniul secundar acceptă acreditări de la conturile părinte.

kinit -V [email protected]
Autentificat la Kerberos v5

root@SERVER:/var/log/sssd# starea systemctl sssd

22 oct 17:55:09 SERVER [sssd[ldap_child[27928]: Nu s-a inițializat acreditările folosind keytab [MEMORY:/etc/krb5.keytab]: Clientul „[email protected]” nu a fost găsit în baza de date Kerberos. Imposibil de creat conexiunea LDAP criptată GSSAPI.

EROARE în fișierul jurnal SSSD

Vineri, 22 octombrie 17:32:51 2021) [sssd[be[DOMAIN.SYS]]] [confdb_get_domain_internal] (0x0010): Domeniu necunoscut [CHILD.DOMAIN.SYS]
(Vine Oct 22 17:32:51 2021) [sssd[be[DOMAIN.SYS]]] [confdb_get_domains] (0x0010): Eroare (2 [Fără un astfel de fișier sau director]) la preluarea domeniului [CHILD.DOMAIN.SYS], sarind!

CONFIG. SSSD

root@SERVER:cat /etc/sssd/sssd.conf
[sssd]
servicii = nss, pam
config_file_version = 2
domenii = DOMAIN.SYS, CHILD.DOMAIN.SYS

[nss]
default_shell = /bin/bash

[domeniu/DOMAIN.SYS]
id_provider = ad
access_provider = ad
override_homedir = /home/%d/%u

ad_hostname = server.child.domain.sys
#ad_server = dc.child.domain.sys
#ad_domain = DOMAIN.SYS

KRB5 CONFIG

root@SERVER: cat /etc/krb5.conf
[libdefaults]
        default_realm = DOMAIN.SYS
        durata de viață a biletului = 24 ore #
        renew_lifetime = 7d
        rdns = false

Următoarele variabile krb5.conf sunt numai pentru MIT Kerberos.
        kdc_timesync = 1
        ccache_type = 4
        forwardable = adevărat
        proxiable = adevărat
455
0 + 0
LeeM avatar
drapel cn
LeeM
Vă rugăm să utilizați formatarea, astfel încât informațiile de configurare să fie mai puțin dificil de citit.
0
Răspunde
Puncte:0
LeeM avatar Server
drapel cn
LeeM

Cum ai configurat SSSD? Ai făcut tărâmul descoperi și apoi alăturarea tărâmului? Dacă nu ați făcut-o, aceasta este metoda recomandată. Recomand cu caldura sa faci asta.

Ați încercat să vă autentificați ca utilizator în domeniul secundar? *getent passwd [email protected]

Din ceea ce pot spune din informațiile prost formatate pe care le-ați furnizat, aveți două domenii în sssd.conf

[sssd] 
servicii = nss, pam 
config_file_version = 2 

domenii = DOMAIN.SYS, CHILD.DOMAIN.SYS

[nss] 
default_shell = /bin/bash

[domeniu/DOMAIN.SYS] 
id_provider = ad 
access_provider = ad

Ai o sectiune pentru [domeniu/CHILD.DOMAIN.SYS]. Ce se întâmplă dacă o faci lista de tărâmuri? Asta ar trebui să vă arate ce este configurat corect în sssd.conf.

Nu sunt sigur dacă trebuie să aveți ambele domenii listate într-o situație de domeniu părinte-copil, dar poate încercați să configurați mai întâi domeniul secundar. Sau cel puțin pune copilul pe primul loc în domenii listă.

domenii = CHILD.DOMAIN.SYS
...
[domeniu/CHILD.DOMAIN.SYS] 
id_provider = ad 
access_provider = ad

Cum încercați să autentificați utilizatorul domeniului părinte? Încercați să faceți SSH sau încercați a getent local pe server? Utilizați un nume complet calificat pentru a autentifica utilizatorul domeniului părinte? de exemplu. getent passwd [email protected]

Această eroare indică faptul că încearcă să folosească o tastatură cu numele computerului greșit Client „[email protected]. Ar trebui să fie folosit [email protected] dacă este alăturat domeniului copil. Tasta de chei de server conține de fapt numele de server corect pentru domeniul secundar?

De aceea, recomand să simplificați problema, asigurându-vă că vă puteți conecta mai întâi cu acreditările domeniului copil.Deși chiar cred că ar trebui să o iei de la capăt alăturarea tărâmului dacă nu ai folosit această metodă.

Încercați să urmați pașii de depanare de aici, în special secțiunile Noțiuni de bază, Backend și Furnizor comun AD: https://sssd.io/troubleshooting/basics.html

(apropo, sper cu adevărat că sufixul domeniului dvs. nu este chiar .SYS)

0 + 0
AAABL avatar
drapel in
AAABL
multumesc mult pentru raspuns!
0
Răspunde
AAABL avatar
drapel in
AAABL
da, m-am putut autentifica cu contul de utilizator din domeniul copil și am modificat sssd.conf eliminând DOMAIN.SYS și lăsând doar CHILD.DOMAIN.SYS, astfel încât să nu existe erori. Mă pot autentifica cu [email protected], dar nu cu [email protected] (Acces refuzat) inițial am folosit „net ads join k” când rulez domeniul descoperire. Primesc: Niciun domeniu implicit descoperit. Trebuie să deconectez serverul de la domeniu și să îl alătur utilizând realm join?
0
Răspunde
AAABL avatar
drapel in
AAABL
Când rulez realm discover -v domain.sys * Rezolvarea: _ldap._tcp.domain.sys * Descoperit cu succes: DOMAIN.SYS tip: kerberos nume-domeniu: DOMAIN.SYS nume-domeniu: domain.sys configurat: kerberos-member server-software: active-directory client-software: win-bind pachetul necesar: winbind pachetul necesar: libpam-winbind pachetul-necesar: samba-common-bin formate de conectare: TEST\%U login-policy: permit-orice-autentificare domeniu.sys tip: kerberos nume-domeniu: DOMAIN.SYS nume-domeniu: domain.sys configurat: nu
0
Răspunde
LeeM avatar
drapel cn
LeeM
Cel puțin ești alăturat domeniului, așa că n-aș mai încerca asta - dar `realm join` este mult mai bun, pentru referințe viitoare. Și „descoperirea tărâmului” arată că ar trebui să ajungă în domeniul părinte. Deci acum poate încercați să modificați `domains = CHILD.DOMAIN.SYS, DOMAIN.SYS` și adăugați o nouă secțiune pentru `[domain/DOMAIN.SYS]` cu `id_provider` și `access_provider`. Apoi rulați `realm list` care ar trebui să verifice `sssd.conf` și să rezolve domeniile. Utilizați comenzile `getent` pentru a testa dacă utilizatorii pot fi rezolvați pe DC-uri înainte de a încerca conectarea.
0
Răspunde
LeeM avatar
drapel cn
LeeM
Dacă utilizatorii nu pot fi rezolvați în domeniul părinte cu `getent`, poate fi necesar să verificați rezoluția DNS și să definiți `ad_server` dacă gazda nu poate ajunge la toate DC-urile. Reveniți la elementele de bază cu toți acești pași de depanare pe sssd.io. Sau deconectați-l și vedeți dacă reuniunea cu `ream join` face diferența. De asemenea, dacă aveți alte mașini *nix conectate la SSSD în domeniul copil, verificați configurațiile acestora. Dar cred că dacă vă asigurați că ambele domenii au secțiuni de configurare în `sssd.conf`, asta s-ar putea rezolva.
0
Răspunde
LeeM avatar
drapel cn
LeeM
oh, tocmai am văzut că ai încercat să pleci și să te alăture. Îmi pare rău, nu știu cum să ies din murătura, în afară de a elimina (sau a face o copie de rezervă) tastatura de taste, a restabili toate fișierele de configurare la valorile implicite și a cere administratorului AD să se asigure că contul de computer din domeniu este de fapt dispărut.
0
Răspunde
AAABL avatar
drapel in
AAABL
realm join -v [email protected] child.domain.sys ! Nu s-a putut autentifica în directorul activ: SASL(-1): eșec generic: Eroare GSSAPI: Eroare GSS nespecificată. Codul minor poate oferi mai multe informații (Serverul nu se găsește în baza de date Kerberos) adcli: nu s-a putut conecta la domeniul child.DOMAIN.SYS: nu s-a putut autentifica în directorul activ: SASL(-1): eșec generic: Eroare GSSAPI: Eroare GSS nespecificată. Codul minor poate oferi mai multe informații (Serverul nu se găsește în baza de date Kerberos) ! Permisiuni insuficiente pentru a se alătura domeniului
0
Răspunde
AAABL avatar
drapel in
AAABL
Cred că trebuie să am un domeniu copil și părinte configurat în fișierul krb5.conf. Nu sunt sigur care este formatul potrivit în prezent, am doar domeniul părinte
0
Răspunde
drapel romania
SEF 777
întrebarea această in alte limbi:

Postează un răspuns

Majoritatea oamenilor nu înțeleg că a pune multe întrebări deblochează învățarea și îmbunătățește legătura interpersonală. În studiile lui Alison, de exemplu, deși oamenii își puteau aminti cu exactitate câte întrebări au fost puse în conversațiile lor, ei nu au intuit legătura dintre întrebări și apreciere. În patru studii, în care participanții au fost implicați în conversații ei înșiși sau au citit transcrieri ale conversațiilor altora, oamenii au avut tendința să nu realizeze că întrebarea ar influența – sau ar fi influențat – nivelul de prietenie dintre conversatori.