Автор Тема: Freeipa + AD. Вход пользователем AD на машину FreeIPA (Прочитано 635 раз)

tehn · « : 09.08.2022 09:47:19 »

Доброго здоровья!
установлено доверие между Freeipa и AD.
при входе пользователя AD на машину Freeipa выходит ошибка
включаю journalctl -f. Выходит вот это:

pam_sss(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=192.168.1.10 user=test@test.ru
авг 09 09:21:08 ldc02.test2.local sshd[4375]: pam_sss(sshd:auth): received for user test@test.ru: 6 (Permission denied)

Кто-нибудь сталкивался с этим?
Куда хоть копать-то?
Как расширенные логи можно посмотреть? чтоб не в консоль, а в файл?

tehn · « **Ответ #1 :** 09.08.2022 10:07:15 »

и вот эта ошибка проскакивает:

check_winbind_security: winbindd not running - but required as DC with trusts: NT_STATUS_NO_LOGON_SERVERS

при этом при выполнении ipactl status:
Directory Service: RUNNING
krb5kdc Service: RUNNING
kadmin Service: RUNNING
named Service: RUNNING
httpd Service: RUNNING
ipa-custodia Service: RUNNING
pki-tomcatd Service: RUNNING
smb Service: RUNNING
winbind Service: RUNNING
ipa-otpd Service: RUNNING
ipa-dnskeysyncd Service: RUNNING
ipa: INFO: The ipactl command was successful

т.е. winbind есть и стартует!

Kosh · « **Ответ #2 :** 11.08.2022 11:41:36 »

это классика, я промучился несколько месяцев с такой схемой работы, решения не нашел.....ад пользователи то нормально заходили на машины которые в домене freeipa, то не хотели, бесконечная читка логово и гугл ясности не добавлял, победить пока не смог чтобы отдать такую схему в прод.......

kessys · « **Ответ #3 :** 11.08.2022 20:11:50 »

Два домена а это удобно?

kessys · « **Ответ #4 :** 12.08.2022 08:45:37 »

вообще как и что free ipa представляет из себя?

tehn · « **Ответ #5 :** 12.08.2022 09:24:27 »

Цитата: Kosh от 11.08.2022 11:41:36

это классика, я промучился несколько месяцев с такой схемой работы, решения не нашел.....ад пользователи то нормально заходили на машины которые в домене freeipa, то не хотели, бесконечная читка логово и гугл ясности не добавлял, победить пока не смог чтобы отдать такую схему в прод.......

Уважаемый, подскажи... вот с такой ошибкой не сталкивался?
pam_sss(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=192.168.1.10 user=test@test.ru
авг 09 09:21:08 ldc02.test2.local sshd[4375]: pam_sss(sshd:auth): received for user test@test.ru: 6 (Permission denied)

если на терминале сервера freeipa захожу под правами суперпользователя, то потом su test@test.ru заходит. Но в этом случае он просто не запрашивает пароль...
но как только пробую зайти пользователями AD с вводом пароля - сразу ошибка.

Skull · « **Ответ #6 :** 12.08.2022 10:10:53 »

Покажите id у доменного пользователя. Похоже, он не в группе users.

tehn · « **Ответ #7 :** 12.08.2022 10:48:16 »

Цитата: Skull от 12.08.2022 10:10:53

Покажите id у доменного пользователя.

/etc/sssd# getent passwd test@test.ru
test@test.ru:*:1657486426:1657486426:Иванов Иван Иванович:/home/test.ru/test:

/etc/sssd# id test@test.ru
uid=1657486426(test@test.ru) gid=1657486426(test@test.ru) группы=1657486426(test@test.ru),1657400513

Цитата: Skull от 12.08.2022 10:10:53

Похоже, он не в группе users.

вот тут поподробнее)

Skull · « **Ответ #8 :** 12.08.2022 18:34:03 »

Цитата: tehn от 12.08.2022 10:48:16

Цитата: Skull от 12.08.2022 10:10:53
Покажите id у доменного пользователя.
/etc/sssd# getent passwd test@test.ru
test@test.ru:*:1657486426:1657486426:Иванов Иван Иванович:/home/test.ru/test:

/etc/sssd# id test@test.ru
uid=1657486426(test@test.ru) gid=1657486426(test@test.ru) группы=1657486426(test@test.ru),1657400513

Как и чем вводили? https://www.altlinux.org/ActiveDirectory/Login#Отображение_глобальных_групп_на_локальные

Цитировать

Цитата: Skull от 12.08.2022 10:10:53
Похоже, он не в группе users.
вот тут поподробнее)

Обычно в AllowGroups в /etc/openssh/sshd_config

Форум сообщества
Альт Линукс