web-dev-qa-db-ja.com

ssh経由でfreeIPAクライアントホストに接続する際の問題

CentOS 7.3サーバーとクライアントを使用してIPA環境をセットアップしようとしていますが、理解できない動作が発生しています。 IPAバージョン4.4.0を使用しています。

サーバーでipa-server-installを実行し、クライアントでipa-client-installを問題なく実行できました。次に、既存のユーザーfooに加えて、新しいユーザーadminを追加しました。これは、管理目的でIPAによって自動的に設定されます。

奇妙な部分になります:

クライアントマシンでも、adminfooの両方に対してkinit <user>を使用してKerberosチケットを取得できます。したがって、セットアップは成功したようです。すべてのホストでKerberosチケットを取得でき、rootとしてログインすると、su - fooも問題なく機能します。また、sshを介してIPA serverマシン、たとえばssh foo@servermachineにログインしようとすると、それは魅力のように機能します。ただし、IPA clientマシンにログインしようとすると、つまりssh foo@clientmachineすぐに切断されます。

! user@machine >ssh foo@clientmachine
Password:
foo@clientmachine's password:
Connection closed by 172.27.0.104

興味深いことに、sshはパスワードを2回要求します。 ssh -vvv 2回目のパスワード試行後、次の結果が得られます。

foo@clientmachine's password:
debug3: packet_send2: adding 64 (len 57 padlen 7 extra_pad 64)
debug2: we sent a password packet, wait for reply
Connection closed by 172.27.0.104

さらに興味深いのは、クライアント(sshサーバー)です。ここで、journalctl -xeft sshdは、パスワードを初めて入力した後にこのメッセージを表示します。

Jun 29 15:53:00 clientmachine sshd[5464]: pam_sss(sshd:auth): authentication success; logname= uid=0 euid=0 tty=ssh ruser= rhost=machine.domain.com user=foo
Jun 29 15:53:00 clientmachine sshd[5464]: pam_krb5[5464]: TGT verified using key for 'Host/clientmachine@REALM'
Jun 29 15:53:00 clientmachine sshd[5464]: pam_krb5[5464]: authentication succeeds for 'foo' (foo@REALM)
Jun 29 15:53:01 clientmachine sshd[5464]: pam_sss(sshd:account): Access denied for user foo: 4 (System error)
Jun 29 15:53:01 clientmachine sshd[5461]: error: PAM: User account has expired for foo from machine.domain.com

そして2回目:

Jun 29 15:56:10 clientmachine sshd[5483]: pam_sss(sshd:auth): authentication success; logname= uid=0 euid=0 tty=ssh ruser= rhost=machine.domain.com user=foo
Jun 29 15:56:10 clientmachine sshd[5483]: pam_krb5[5483]: TGT verified using key for 'Host/clientmachine@REALM'
Jun 29 15:56:10 clientmachine sshd[5483]: pam_krb5[5483]: authentication succeeds for 'foo' (foo@REALM)
Jun 29 15:56:10 clientmachine sshd[5483]: Failed password for foo from 10.128.34.50 port 55327 ssh2
Jun 29 15:56:10 clientmachine sshd[5483]: fatal: Access denied for user foo by PAM account configuration [preauth]

アカウントの有効期限が切れていないことを再確認しましたさらに、前述のように、ssh経由でユーザーfooとしてログインすると、に接続しても問題なく機能しますIPAサーバーマシン。それぞれのsshdログ:

Jun 29 16:00:11 servermachine sshd[29995]: pam_sss(sshd:auth): authentication success; logname= uid=0 euid=0 tty=ssh ruser= rhost=machine.domain.com user=foo
Jun 29 16:00:11 servermachine sshd[29992]: Accepted keyboard-interactive/pam for foo from 10.128.34.50 port 34662 ssh2
Jun 29 16:00:11 servermachine sshd[29992]: pam_unix(sshd:session): session opened for user foo by (uid=0)

要約:

  • サーバーマシン上のkinit foo:動作します
  • クライアントマシンのkinit foo:動作します
  • su - fooサーバーマシンにrootとしてログインした場合:動作します
  • su - fooクライアントマシンにrootとしてログインした場合:動作します
  • ssh foo@servermachine:動作します
  • ssh foo@clientmachine動作しません!、sshクライアントはすぐに切断されます

何が起こっているのか理解できません。助けていただければ幸いです。

sshkerberosloginsingle-sign-onfreeipa
2
andreee

pam_krb5pam_sssと並行して使用しないでください。なぜそれを構成したのですか?

1
abbra