Linux AD統合、Windows Server 2012を使用しているときにログインできないDC
CentOS 6.6サーバーをActive Directoryに統合しようとしています。私は this 設定3(SSSD/Kerberos/LDAP)を使用したRed Hatのガイドに従いました。 Windows Server 2008 R2サーバーをIMUが有効なドメインコントローラーとして使用すると、すべてが完全に機能します。
ただし、IMUが有効なWindows Server 2012 R2サーバーを使用すると、Kerberosチケットを取得し、ドメインに参加し、LDAPを検索できますが、コンソールからADユーザーとしてログインしようとするとすぐに、/var/log/messagesでこのエラーメッセージを取得します。
6月6日11:12:30テスト[sssd [krb5_child [4760]]]:事前認証に失敗しました
そして/ var/log/secureはこれらのエラーメッセージを示します:
6月6日11:12:15テストログイン:pam_sss(login:auth):ユーザー[email protected]に対して受信:17(ユーザー資格情報の設定に失敗しました)
6月6日11:12:17テストログイン:FAILED LOGIN 1 FROM(null)FOR [email protected]、Authentication failure
getent passwd aduserまたはgetent group linuxgroupを使用すると正常に戻ります。
私はこのsssd.confファイルで試しました:
[sssd] config_file_version = 2 services = nss、pam domains = domain.local debug_level = 5 [ domain/domain.local] id_provider = ad auth_provider = ad ad_server = dc.domain.local default_Shell = /bin/bash fallback_homedir = /home/%d/%u cache_credentials = false ldap_id_mapping = false
次に this バグレポートを読みます。そこで、sssd.confファイルを次のように変更しました。
[sssd] config_file_version = 2 reconnection_retries = 2 services = nss、pam debug_level = 5 domains = domain .local [nss] debug_level = 5 [pam] debug_level = 5 [domain/domain.local] id_provider = ldap auth_provider = krb5 chpass_provider = krb5 debug_level = 5 ldap_uri = ldap://dc.domain.local/ ldap_sasl_mech = GSSAPI ldap_schema = rfc2307bis ldap_user_search_base = dc = domain、dc = local ldap_user_object_class = user ldap_user_home_directory = unixHomeDirectory ldap_user_principal = userPrincipalName ldap_group_search_base = dc = domain、dc = local ldap_group_object_class = group ldap_access_order = expire ldap_account_expire_policy = ad ldap_force_upper_case_realm = true ldap_referrals = false krb5_server = dc.domai n.local krb5_realm = DOMAIN.LOCAL krb5_canonicalize = false enumerate = false cache_credentials = false
SSSDキャッシュをクリアして、サービスを再起動しました。まだログインできません。
/ var/log/messagesでこのエラーが発生しています。
6月6日11:21:43テスト[sssd [krb5_child [1546]]]:権限が拒否されました
/var/log/sssd/krb5_child.logにこのエラーが表示されます。
(2015年6月6日11:21:43)[[sssd [krb5_child [1387]]]] [sss_get_ccache_name_for_principal](0x2000):krb5_cc_cache_match failed:[-1765328243] [Ca n't find client principal [email protected] in cacheコレクション]
(2015年6月6日11:21:43)[[sssd [krb5_child [1387]]]] [create_ccache](0x0020):575:[13] [Permission denied]
さて、ここが奇妙なところです。ルートとして、私がADドメインユーザーにsuを実行すると、実際に機能し、ホームディレクトリが自動的に作成されます。私は敗北を認め、2k8 DCに固執しようとしています。
sssdデバッグログを確認せずに、より適切な回答を提供することはできませんが、あなたが参照しているバグレポートは、機能的なものではなく、パフォーマンスの影響のみを含みました。
suからrootをアカウントに追加できるのは、PAMスタックには通常、pam_rootok.soによる認証をバイパスするpam_sssモジュールが含まれているためです。 rootからの認証が機能する場合、ID情報の取得は機能するが、認証は機能しないことを少なくとも知っています。
ここまたはsssd-usersリストのいずれかで、この質問にさらに情報を追加することをお勧めします。最も重要なのは、ドメインセクションからのdebug_levelが高いsssdデバッグログとkrb5_child.logです。
詳細については、SSSD wikiの トラブルシューティングドキュメント を参照してください。