Nu se poate trimite ssh la server folosind acreditările SSSD

Construim un nou server Ubuntu. Acolo unde serverul nu acceptă conexiunea SSH cu acreditările de utilizator SSSD.

Mai jos este eroarea pe care o vedem pe server cu starea SSSD-ului

sssd.service - Daemonul serviciilor de securitate a sistemului
     Încărcat: încărcat (/lib/systemd/system/sssd.service; activat; prestabilit furnizor: activat)
     Activ: activ (în rulare) din marți 12.10.2021 16:01:27 EDT; acum 1 min 12 s
   PID principal: 3056 (sssd)
      Sarcini: 6 (limită: 4617)
     Memorie: 50,9 M
     CGroup: /system.slice/sssd.service
             ââ3056 /usr/sbin/sssd -i --logger=fișiere
             ââ3077 /usr/libexec/sssd/sssd_be --domain FORDDIRECT.LOCAL --uid 0 --gid 0 --logger=fișiere
             ââ3078 /usr/libexec/sssd/sssd_nss --uid 0 --gid 0 --logger=fișiere
             ââ3079 /usr/libexec/sssd/sssd_pam --uid 0 --gid 0 --logger=fișiere
             ââ3080 /usr/libexec/sssd/sssd_ssh --uid 0 --gid 0 --logger=fișiere
             ââ3081 /usr/libexec/sssd/sssd_autofs --uid 0 --gid 0 --logger=fișiere

12 oct 16:01:26 XXXXXXXXXXXXXXXXXXXXXXXXXXX systemd[1]: Se pornește Daemonul Serviciilor de securitate a sistemului...
12 octombrie 16:01:26 XXXXXXXXXXXXXXXXXXXXXXXXXXX sssd[3056]: pornire
12 octombrie 16:01:27 XXXXXXXXXXXXXXXXXXXXXXXXXXX sssd_be[3077]: Pornire
12 oct 16:01:27 XXXXXXXXXXXXXXXXXXXXXXXXXXX sssd_pam[3079]: pornire
12 octombrie 16:01:27 XXXXXXXXXXXXXXXXXXXXXXXXXXX sssd_autofs[3081]: pornire
12 octombrie 16:01:27 XXXXXXXXXXXXXXXXXXXXXXXXXXX sssd_ssh[3080]: pornire
12 octombrie 16:01:27 XXXXXXXXXXXXXXXXXXXXXXXXXXX sssd_nss[3078]: pornire
12 octombrie 16:01:27 XXXXXXXXXXXXXXXXXXXXXXXXXXX systemd[1]: Daemonul Serviciilor de securitate a sistemului a pornit.
12 octombrie 16:02:34 XXXXXXXXXXXXXXXXXXXXXXXXXXX sssd_be[3077]: Nu s-a putut descoperi automat valoarea site-ului AD folosind DNS și opțiunea ad_site>

Verificați dacă DNS este configurat corect.

Am controlorii mei de domeniu listați în fișierul /etc/hosts pentru a verifica dacă fiecare client știe unde să le caute.

# exemplu de controlere de domeniu în /etc/hosts
1.1.1.1 domaincontroller1.ad.example.com domaincontroller1
2.2.2.2 domaincontroller2.ad.example.com domaincontroller2
3.3.3.3 domaincontroller3.ad.example.com domaincontroller3
4.4.4.4 domaincontroller4.ad.example.com domaincontroller4

Verificați, de asemenea, /etc/resolv.conf sau /etc/systemd/resolved.conf (Ubuntu 20.04) pentru configurarea serverului de nume DNS.

# exemplu de intrări în /etc/resolv.conf sau /etc/systemd/resolved.conf
server de nume <adresă ip>
server de nume 8.8.8.8
caută ad.your.domain

După ce modificați /etc/systemd/resolved.conf, va trebui să rulați:

systemctl reporniți rezolvconf
rezolvconf -u

Pe Ubuntu 20.04 puteți rula și systemd-resolve --status pentru a vedea ce servere DNS sunt configurate.

Asigurați-vă că aveți /etc/sssd/sssd.conf cu permisiunile și proprietarul setat corect.

# Permisiuni
-rw------- 1 rădăcină rădăcină 1.3K 21 decembrie 08:42 /etc/sssd/sssd.conf

Dacă utilizați domeniul pentru a vă alătura domeniului, fișierul dvs. de configurare sssd trebuie să aibă în el doar următoarele pentru a vă alătura. Realm va construi automat unele dintre celelalte cerințe necesare în fișierul sssd.conf.

# Configurații de bază sssd.conf
[sssd]
domenii = 
config_file_version = 2
servicii = nss, pam

# exemplu de comandă de alăturare a tărâmului
realm join -U AdminAcct ad.example.com --computer-name="server1" --os-name="Ubuntu" --os-version="20.04" --computer-ou="CN=Computers,DC= ad,DC=exemplu,DC=com" --automatic-id-mapping=nr

După ce vă alăturați domeniului cu configurația de mai sus, puteți modifica fișierul sssd.conf și apoi pur și simplu rulați:

systemctl restart sssd.service && sss_cache -E