Configurez autentificarea Active Directory pentru o cutie Alma 8 folosind SSSD, Kerberos și cheia SSH inițială pentru autentificare stocată într-un obiect Active Directory și un fișier local sudoers care listează grupurile permise pentru sudo.
Am conectat serverul la domeniu și am putut să mă autentific ca utilizator de domeniu, logându-mă inițial folosind cheia SSH. Ulterior, o parolă de domeniu AD trebuie furnizată atunci când se escaladează la root, iar acesta este punctul în care procesul eșuează, aparent cu o eroare de parolă incorectă.
/etc/nsswitch.conf
passwd: fișiere sss
grup: fișiere sss
sudoers: fișiere sss
/etc/sssd/sssd.conf
[sssd]
servicii = ssh, nss, pam, sudo
config_file_version = 2
domenii = XXXXXXXXXX.COM
[domeniu/XXXXXXXXXX.COM]
nivel_depanare = 0x3ff0
ad_domain = xxxxxxx.com
krb5_realm = XXXXXXXXXX.COM
id_provider = ad
access_provider = ad
enumerate = false
cache_credentials = false
use_fully_qualified_names = Fals
ldap_user_ssh_public_key = sshPublicKey
ad_enable_gc = false
ad_gpo_access_control = dezactivat
ad_server = dc1.xxxxxxx.com, dc2.xxxxxxx.com
nivel_depanare = 9
dyndns_update = adevărat
dyndns_update_ptr = adevărat
ad_hostname = testbox.xxxxxxx.com
[nss]
default_shell = /bin/bash
fallback_homedir = /home/%d/%u
[ssh]
[sudo]
nivel_depanare = 0x3ff0
/etc/sudoers.d/company_sudoers
„%admins company” ALL=(ALL) ALL
„%domain admins” TOȚI=(TOȚI) TOȚI
„%gg-srvlocaladmin” ALL=(ALL) TOATE
„%dl-linuxadministrators” ALL=(ALL) ALL
Am verificat că mă conectez ca utilizator de domeniu și că sunt membru al unuia dintre grupurile necesare (dl-linuxadministrators):
[me@testbox ~]$ grupuri
utilizatori de domeniu nonprod-zabbix-admins prod-zabbix-admins nonprod-glog-allstreams-users prod-glog-allstreams-users prod-glog-views-users gg-linuxadmins dl-linuxadministrators
Totuși, când ajung la sudo până la root, parola mea aparent nu este acceptată:
[me@testbox ~]$ sudo -i
[sudo] parola pentru mine:
Îmi pare rău, mai încearcă.
[sudo] parola pentru mine:
Îmi pare rău, mai încearcă.
[sudo] parola pentru mine:
sudo: 3 încercări incorecte de parolă
Am activat jurnalele de depanare sudo și sssd. Jurnalele de sudo sunt destul de verbose, nu am observat nimic care în mod evident mi se par a fi o eroare sau similar în ele (sunt bucuros să postez fragmente, totuși, dacă oamenii mă pot sfătui cu privire la ceva anume pe care ar trebui să caut). Jurnalele sssd cred că indică faptul că această parte a procesului de autentificare este transferată către PAM.
Această configurație a fost portată peste serverele Ubuntu existente, pe care funcționează fără probleme. Pot vedea căutând în fișierele din /etc/pam.d/ că mai multe pe Ubuntu
casetele fac referire la modulul pam_sss.so, în timp ce acestea lipsesc în caseta Alma.
root@otherbox:/etc/pam.d# grep sss * | grep -v vechi
common-account:cont [implicit=succes prost=ok user_unknown=ignora] pam_sss.so
common-auth:auth [success=1 default=ignore] pam_sss.so use_first_pass
common-password:parolă suficientă pam_sss.so use_authtok
common-session:session opțional pam_sss.so
Am încercat să traduc și să port unele dintre acestea, aparent fără niciun efect, dar asta Mai fie că nu am făcut acest lucru corect din cauza diferențelor între distribuții.
Syslog arată totuși un mesaj de eroare care vine de la ceea ce pare a fi un proces copil krb:
4 februarie 16:08:45 testbox krb5_child[2117]: Preautentificarea eșuată
4 februarie 16:08:45 testbox krb5_child[2117]: Preautentificarea eșuată
4 februarie 16:08:45 testbox krb5_child[2117]: Preautentificarea eșuată
eu inca gândi Este posibil ca problema să fie legată de PAM, dar nu sunt 100% sigur.
Poate cineva să-mi ofere vreo îndrumare, nu unde să o duc în continuare?
Mulțumesc anticipat.
