înregistrare Logare
Puncte:2
Gostega avatar Server

Stațiile de lucru Linux se autentifică doar pe un controler de domeniu

drapel ro
Gostega

Am 3 controlere de domeniu

192.168.1.6 Server 2016 [echivalent PDC] Site 1
192.168.1.7 Server 2016 Site 1
192.168.31.10 Server 2016 Site-ul 2

și o combinație de stații de lucru Windows10, Mac și Debian 10 Linux. Windows și mac-urile nu au niciodată probleme. Recent, (miercurea trecută), se pare că, în același timp, am instalat actualizările Windows din octombrie pe controlerele de domeniu, utilizatorii nu s-au putut conecta cu intermitență la stațiile de lucru Linux.

Conectarea de pe desktop dă „Parolă incorectă”. Conectarea prin ssh închide conexiunea după câteva secunde (spre deosebire de o parolă incorectă reală care va spune Permisiune refuzată, vă rugăm să încercați din nou:

nume utilizator@PC:~$ ssh [email protected]
Parola lui [email protected]:
Conexiune închisă de 192.168.1.195 portul 22

S-a dovedit că forțarea stațiilor de lucru (via /etc/hosts) pentru a rezolva domeniul nostru (example.com) la DC principal (192.168.1.6 example.com) repara-l.

Evident, aceasta este doar o soluție. Nu am reușit să găsesc niciun eveniment de autentificare eșuat în jurnalele de evenimente Windows pe orice DC. Parcă încercarea de autentificare nici nu ajunge la DC. Nici eu nu gasesc niciun rezultat online.

Jurnalele de autentificare pe o stație de lucru (192.168.1.125):

Oct 29 10:09:45 exempluLXWS5 sshd[15065]: pam_unix(sshd:auth): eșec de autentificare; logname= uid=0 euid=0 tty=ssh ruser= rhost=192.168.1.125 user=john.smith
Oct 29 10:09:45 exempluLXWS5 sshd[15065]: pam_sss(sshd:auth): eșec de autentificare; logname= uid=0 euid=0 tty=ssh ruser= rhost=192.168.1.125 user=john.smith
29 oct 10:09:45 exempluLXWS5 sshd[15065]: pam_sss(sshd:auth): primit pentru utilizatorul john.smith: 17 (Eșec la setarea acreditărilor utilizatorului)
29 oct 10:09:47 exempluLXWS5 sshd[15065]: parolă eșuată pentru john.smith de la portul 192.168.1.125 54758 ssh2
Oct 29 10:09:52 exempluLXWS5 sshd[15065]: pam_sss(sshd:auth): autentificare succes; logname= uid=0 euid=0 tty=ssh ruser= rhost=192.168.1.125 user=john.smith
29 oct 10:09:57 exempluLXWS5 sshd[15065]: pam_sss(sshd:account): Acces refuzat utilizatorului john.smith: 4 (Eroare de sistem)
29 oct 10:09:57 exempluLXWS5 sshd[15065]: parolă eșuată pentru john.smith de la portul 192.168.1.125 54758 ssh2
29 oct 10:09:57 exempluLXWS5 sshd[15065]: fatal: acces refuzat utilizatorului john.smith de configurarea contului PAM [preauth]
Oct 29 10:09:57 exempluLXWS5 sshd[15065]: PAM 1 mai mult eșec de autentificare; logname= uid=0 euid=0 tty=ssh ruser= rhost=192.168.1.125 user=john.smith

Iată mai multe loguri cu nivel_depanare = 5 în sssd.conf pentru o încercare de conectare eșuată.

==> /var/log/sssd/sssd_EXAMPLE.COM.log <==
(Veni, 29 octombrie 13:56:02 2021) [sssd[be[EXAMPLE.COM]]] [dp_get_account_info_handler] (0x0200): Am primit cerere pentru [0x3][BE_REQ_INITGROUPS][[email protected]]
(Veni, 29 octombrie 13:56:02 2021) [sssd[be[EXAMPLE.COM]]] [sysdb_set_entry_attr] (0x0200): intrare [[email protected],cn=users,cn=EXAMPLE.COM ,cn=sysdb] a setat [ts_cache] attrs.
(Veni, 29 octombrie 13:56:02 2021) [sssd[be[EXAMPLE.COM]]] [sysdb_set_entry_attr] (0x0200): intrare [[email protected],cn=users,cn=EXAMPLE.COM ,cn=sysdb] a setat [ts_cache] attrs.
(Veni, 29 octombrie 13:56:02 2021) [sssd[be[EXAMPLE.COM]]] [dp_pam_handler] (0x0100): Am primit o cerere cu următoarele date
(Veni, 29 octombrie 13:56:02 2021) [sssd[fi[EXAMPLE.COM]]] [pam_print_data] (0x0100): comandă: SSS_PAM_AUTHENTICATE
(Vine Oct 29 13:56:02 2021) [sssd[fi[EXAMPLE.COM]]] [pam_print_data] (0x0100): domeniu: EXAMPLE.COM
(Veni, 29 octombrie 13:56:02 2021) [sssd[fi[EXAMPLE.COM]]] [pam_print_data] (0x0100): utilizator: [email protected]
(vineri, 29 oct 13:56:02 2021) [sssd[fi[EXAMPLE.COM]]] [pam_print_data] (0x0100): service: sshd
(vineri, 29 octombrie 13:56:02 2021) [sssd[fi[EXAMPLE.COM]]] [pam_print_data] (0x0100): tty: ssh
(Vine Oct 29 13:56:02 2021) [sssd[be[EXAMPLE.COM]]] [pam_print_data] (0x0100): ruser:
(Vine Oct 29 13:56:02 2021) [sssd[be[EXAMPLE.COM]]] [pam_print_data] (0x0100): rhost: 192.168.1.116
(Vine Oct 29 13:56:02 2021) [sssd[be[EXAMPLE.COM]]] [pam_print_data] (0x0100): tip authtok: 1
(Vine Oct 29 13:56:02 2021) [sssd[be[EXAMPLE.COM]]] [pam_print_data] (0x0100): tip newauthtok: 0
(Vine Oct 29 13:56:02 2021) [sssd[be[EXAMPLE.COM]]] [pam_print_data] (0x0100): priv: 1
(Vine Oct 29 13:56:02 2021) [sssd[be[EXAMPLE.COM]]] [pam_print_data] (0x0100): cli_pid: 15728
(Veni, 29 octombrie 13:56:02 2021) [sssd[be[EXAMPLE.COM]]] [pam_print_data] (0x0100): numele de conectare: nesetat
(Veni, 29 octombrie 13:56:02 2021) [sssd[be[EXAMPLE.COM]]] [krb5_auth_send] (0x0100): directorul principal pentru utilizatorul [[email protected]] nu este cunoscut.
(Vine Oct 29 13:56:02 2021) [sssd[be[EXAMPLE.COM]]] [fo_resolve_service_send] (0x0100): Încercarea de a rezolva serviciul „AD”
(Veni, 29 octombrie 13:56:02 2021) [sssd[be[EXAMPLE.COM]]] [resolve_srv_send] (0x0200): starea căutării SRV este rezolvată
(Vine Oct 29 13:56:02 2021) [sssd[be[EXAMPLE.COM]]] [be_resolve_server_process] (0x0200): Adresă găsită pentru server domaincontroller1.EXAMPLE.COM: [192.168.1.6] TTL 3600

==> /var/log/sssd/krb5_child.log <==
(Vin Oct 29 13:56:02 2021) [[sssd[krb5_child[15730]]]] [unpack_buffer] (0x0100): cmd [241] uid [1860816111] gid [1860800513] enterprise principal [true] offline [fals] UPN [[email protected]]
(Veni, 29 octombrie 13:56:02 2021) [[sssd[krb5_child[15730]]]] [unpack_buffer] (0x0100): ccname: [FILE:/tmp/krb5cc_1860816111_XXXXXX] old_ccname_16111616111_XXXXXX] old_ccname:cct_1X1xFILE:/cct_1x1xFILE:/cct_1x1xFILE : [/etc/krb5.keytab]
(Veni, 29 octombrie 13:56:02 2021) [[sssd[krb5_child[15730]]]] [check_use_fast] (0x0100): Nu se utilizează FAST.
(Veni, 29 octombrie 13:56:02 2021) [[sssd[krb5_child[15730]]]] [switch_creds] (0x0200): Comutați utilizatorul la [1860816111][1860800513].
(Veni, 29 octombrie 13:56:02 2021) [[sssd[krb5_child[15730]]]] [switch_creds] (0x0200): Comutați utilizatorul la [0][0].
(Vine Oct 29 13:56:02 2021) [[sssd[krb5_child[15730]]]] [privileged_krb5_setup] (0x0080): Nu se poate deschide soclul de răspuns PAC
(Veni, 29 octombrie 13:56:02 2021) [[sssd[krb5_child[15730]]]] [become_user] (0x0200): Încerc să devin utilizator [1860816111][1860800513].
(Veni, 29 octombrie 13:56:02 2021) [[sssd[krb5_child[15730]]]] [try_open_krb5_conf] (0x0080): Nu se poate deschide /etc/krb5.conf [2]: Nu există un astfel de fișier sau director
(Veni, 29 octombrie 13:56:02 2021) [[sssd[krb5_child[15730]]]] [set_lifetime_options] (0x0100): Nu a fost solicitată o durată de viață reînnoibilă specifică.
(Veni, 29 octombrie 13:56:02 2021) [[sssd[krb5_child[15730]]]] [set_lifetime_options] (0x0100): Nu a fost solicitată o durată de viață specifică.
(Veni, 29 octombrie 13:56:02 2021) [[sssd[krb5_child[15730]]]] [set_canonicalize_option] (0x0100): Canonicalizarea este setată la [true]
(Veni, 29 octombrie 13:56:02 2021) [[sssd[krb5_child[15730]]]] [sss_send_pac] (0x0040): sss_pac_make_request a eșuat [-1][2].
(Veni, 29 octombrie 13:56:02 2021) [[sssd[krb5_child[15730]]]] [validate_tgt] (0x0040): sss_send_pac a eșuat, apartenența la grup pentru utilizatorul cu principal [john.smith\@[email protected]@EXAMPLE.COM@ COM] s-ar putea să nu fie corect.
(Veni, 29 octombrie 13:56:02 2021) [[sssd[krb5_child[15730]]]] [switch_creds] (0x0200): Comutați utilizatorul la [1860816111][1860800513].
(Vine Oct 29 13:56:02 2021) [[sssd[krb5_child[15730]]]] [switch_creds] (0x0200): Deja utilizator [1860816111].
(Vine Oct 29 13:56:02 2021) [[sssd[krb5_child[15730]]]] [k5c_send_data] (0x0200): a fost primit codul de eroare 0

==> /var/log/sssd/sssd_EXAMPLE.COM.log <==
(Veni, 29 octombrie 13:56:02 2021) [sssd[be[EXAMPLE.COM]]] [child_sig_handler] (0x0100): copilul [15730] a terminat cu succes.
(Veni, 29 octombrie 13:56:02 2021) [sssd[be[EXAMPLE.COM]]] [fo_set_port_status] (0x0100): se marchează portul 389 al serverului „domaincontroller1.EXAMPLE.COM” ca „funcționează”
(Veni, 29 octombrie 13:56:02 2021) [sssd[be[EXAMPLE.COM]]] [set_server_common_status] (0x0100): se marchează serverul „domaincontroller1.EXAMPLE.COM” ca „funcționează”
(Veni, 29 octombrie 13:56:02 2021) [sssd[be[EXAMPLE.COM]]] [sysdb_set_entry_attr] (0x0200): intrare [[email protected],cn=users,cn=EXAMPLE.COM ,cn=sysdb] a setat [cache, ts_cache] attrs.
(Veni, 29 octombrie 13:56:02 2021) [sssd[be[EXAMPLE.COM]]] [sysdb_set_entry_attr] (0x0200): intrare [[email protected],cn=users,cn=EXAMPLE.COM ,cn=sysdb] a setat [cache, ts_cache] attrs.
(Veni, 29 octombrie 13:56:02 2021) [sssd[be[EXAMPLE.COM]]] [dp_pam_handler] (0x0100): Am primit o cerere cu următoarele date
(Veni, 29 octombrie 13:56:02 2021) [sssd[fi[EXAMPLE.COM]]] [pam_print_data] (0x0100): comandă: SSS_PAM_ACCT_MGMT
(Vine Oct 29 13:56:02 2021) [sssd[fi[EXAMPLE.COM]]] [pam_print_data] (0x0100): domeniu: EXAMPLE.COM
(Veni, 29 octombrie 13:56:02 2021) [sssd[fi[EXAMPLE.COM]]] [pam_print_data] (0x0100): utilizator: [email protected]
(vineri, 29 oct 13:56:02 2021) [sssd[fi[EXAMPLE.COM]]] [pam_print_data] (0x0100): service: sshd
(vineri, 29 octombrie 13:56:02 2021) [sssd[fi[EXAMPLE.COM]]] [pam_print_data] (0x0100): tty: ssh
(Vine Oct 29 13:56:02 2021) [sssd[be[EXAMPLE.COM]]] [pam_print_data] (0x0100): ruser:
(Vine Oct 29 13:56:02 2021) [sssd[be[EXAMPLE.COM]]] [pam_print_data] (0x0100): rhost: 192.168.1.116
(Veni, 29 octombrie 13:56:02 2021) [sssd[be[EXAMPLE.COM]]] [pam_print_data] (0x0100): tip authtok: 0
(Vine Oct 29 13:56:02 2021) [sssd[be[EXAMPLE.COM]]] [pam_print_data] (0x0100): tip newauthtok: 0
(Vine Oct 29 13:56:02 2021) [sssd[be[EXAMPLE.COM]]] [pam_print_data] (0x0100): priv: 1
(Vine Oct 29 13:56:02 2021) [sssd[be[EXAMPLE.COM]]] [pam_print_data] (0x0100): cli_pid: 15728
(Veni, 29 octombrie 13:56:02 2021) [sssd[be[EXAMPLE.COM]]] [pam_print_data] (0x0100): numele de conectare: nesetat
(Vine Oct 29 13:56:02 2021) [sssd[be[EXAMPLE.COM]]] [ad_gpo_get_som_attrs_done] (0x0040): nu au fost găsite elemente pentru SOM; încercați următorul SOM

==> /var/log/sssd/gpo_child.log <==
(Veni, 29 octombrie 13:56:08 2021) [[sssd[gpo_child[15731]]]] [copy_smb_file_to_gpo_cache] (0x0020): smbc_getFunctionOpen a eșuat [110][Conexiune a expirat]
(Vine Oct 29 13:56:08 2021) [[sssd[gpo_child[15731]]]] [perform_smb_operations] (0x0020): copy_smb_file_to_gpo_cache a eșuat [110][Conexiune a expirat]
(Veni, 29 octombrie 13:56:08 2021) [[sssd[gpo_child[15731]]]] [principal] (0x0020): perform_smb_operations a eșuat.[110][Conexiune a expirat].
(Vine Oct 29 13:56:08 2021) [[sssd[gpo_child[15731]]]] [principal] (0x0020): gpo_child a eșuat!

==> /var/log/sssd/sssd_EXAMPLE.COM.log <==
(Veni, 29 octombrie 13:56:08 2021) [sssd[be[EXAMPLE.COM]]] [gpo_cse_done] (0x0020): ad_gpo_parse_gpo_child_response a eșuat: [22][Argument nevalid]
(Veni, 29 octombrie 13:56:08 2021) [sssd[be[EXAMPLE.COM]]] [ad_gpo_cse_done] (0x0040): Imposibil de preluat datele politicii: [22](Argument nevalid}
(Veni, 29 octombrie 13:56:08 2021) [sssd[be[EXAMPLE.COM]]] [ad_gpo_access_done] (0x0040): Controlul accesului bazat pe GPO a eșuat.
(Veni, 29 octombrie 13:56:08 2021) [sssd[be[EXAMPLE.COM]]] [child_sig_handler] (0x0020): copilul [15731] a eșuat cu starea [1].
317
0 + 0
Nikita Kipriyanov avatar
drapel za
Nikita Kipriyanov
Verificați consistența domeniului: replicarea funcționează, conținutul necesar al bazei de date (conturi de computer etc.) este același. Încercați să actualizați ceva pe un controler și verificați dacă actualizările sunt văzute pe celălalt. `dcdiag` este prietenul tău.
0
Răspunde
Gostega avatar
drapel ro
Gostega
@NikitaKipriyanov mulțumesc pentru sugestie. `dcdiag` și `repadmin /showrepl` apar toate curate. Modificările făcute pe oricare dintre cele 3 DC-uri se reproduc bine la celelalte 2. Utilizatorii se pot conecta cu același cont la un PC Windows, dar nu și la cele Linux
0
Răspunde
Puncte:1
Gostega avatar Server
drapel ro
Gostega

După ce am căutat mai mult în jurnalele (nivelul de depanare 7 pe sssd) și am căutat pe Google, încă nu știu care este cauza principală, dar am constatat că a aruncat o eroare la accesarea unui anumit obiect de politică de grup. Am verificat permisiunile obiectului \domeniu.com\SYSVOL\.... și totul arăta bine.

Această setare face ca problema să dispară într-un mod puțin mai plăcut decât fixarea domeniului la un singur DC în /etc/hosts:

în /etc/sssd/sssd.conf sub [domeniu/MYDOMAIN.COM] sectiunea, am adaugat:

ad_gpo_access_control = permisiv

Conținutul complet al fișierului:

# cat /etc/sssd/sssd.conf

[sssd]
#debug_level = 7
domenii = MYDOMAIN.COM
config_file_version = 2
servicii = nss, pam

[domeniu/MYDOMAIN.COM]
#debug_level = 7
# Adăugat ad_gpo_access_control = permisiv pe 2021-11-01 pentru a remedia problema de conectare AD
ad_gpo_access_control = permisiv
ad_domain = MYDOMAIN.COM
krb5_realm = MYDOMAIN.COM
realmd_tags = gestionează-sistemul unit-cu-adcli
cache_credentials = Adevărat
id_provider = ad
krb5_store_password_if_offline = Adevărat
default_shell = /bin/bash
ldap_id_mapping = Adevărat
use_fully_qualified_names = Fals
fallback_homedir = /home/%u@%d
access_provider = ad
0 + 0
drapel romania
SEF 777
întrebarea această in alte limbi:

Postează un răspuns

Majoritatea oamenilor nu înțeleg că a pune multe întrebări deblochează învățarea și îmbunătățește legătura interpersonală. În studiile lui Alison, de exemplu, deși oamenii își puteau aminti cu exactitate câte întrebări au fost puse în conversațiile lor, ei nu au intuit legătura dintre întrebări și apreciere. În patru studii, în care participanții au fost implicați în conversații ei înșiși sau au citit transcrieri ale conversațiilor altora, oamenii au avut tendința să nu realizeze că întrebarea ar influența – sau ar fi influențat – nivelul de prietenie dintre conversatori.