Вопросы Теги

Проблемы с кешем sssd с authorized_keys

Я использую сервер с CentOS 7.4.1708 и всеми установленными исправлениями. sssd - это версия 1.15.2.

У меня есть работающая настройка sssd, которая позволяет мне входить в систему, используя открытые ключи SSH, хранящиеся в Active Directory.

Конфигурация

Экземпляр успешно присоединен, и это мой /etc/sssd/sssd.conf : 

[sssd]
domains = EXAMPLE.COM
default_domain_suffix = EXAMPLE.COM
config_file_version = 2
debug_level = 7
services = nss, pam, ssh

[domain/EXAMPLE.COM]
ad_domain = EXAMPLE.COM
debug_level = 7
krb5_realm = EXAMPLE.COM
realmd_tags = manages-system joined-with-samba
cache_credentials = True
id_provider = ad
krb5_store_password_if_offline = True
default_shell = /bin/bash
ldap_id_mapping = True
use_fully_qualified_names = True
fallback_homedir = /home/%u@%d
access_provider = ad
ldap_user_ssh_public_key = sshPublicKey
ad_access_filter = DOM:EXAMPLE.COM:(memberOf:1.2.840.113556.1.4.1941:=CN=ACL_DEV_APAC_developers,OU=ACL,OU=Group,OU=EXAMPLE,DC=EXAMPLE,DC=COM)

[ssh]
debug_level = 7

[nss]
debug_level = 7

Мой / etc / ssh / sshd_config включает 

AuthorizedKeysCommand /usr/bin/sss_ssh_authorizedkeys
AuthorizedKeysCommandUser nobody

Проблема

Пользователь может войти в систему только один раз за время существования кеша (по умолчанию 90 минут), в противном случае им будет отказано в доступе. См. Журнал по адресу https: // pastebin. com / Jqc52MWH . Для журналов с debug_level = 9 см. https://pastebin.com/0uQ8MCuS

Running sss_ssh_authorizedkeys myadmin отлично работает при запуске с чистым / тайм-аутом ( даже несколько раз подряд). Когда я вхожу в систему через ssh и пытаюсь запустить его сразу после этого, для пользователя, вошедшего в систему, ничего не возвращается, но я могу сразу же запросить (нового / свежего) пользователя.

Временное решение

добавление entry_cache_user_timeout = 5 - [domain / EXAMPLE.COM] в /etc/sssd/sssd.conf включает вход каждые 5 секунд. Более быстрый вход в систему невозможен. Более низкий тайм-аут увеличивает время входа в систему.

Решение

Кто-нибудь может решить эту проблему?

1
задан 4 October 2017 в 12:26
1 ответ

Последний статус см. В отчете об ошибке - https://pagure.io/SSSD/sssd/issue/3534

Обходной путь 1

Добавление атрибута ldap sshPublicKey к глобальный каталог решает проблему. См. https://blogs.technet.microsoft.com/scotts-it-blog/2015/02/28/ad-ds-global-catalogs-and-the-partial-attribute-set/ для инструкции. Атрибут должен выглядеть примерно так: schema settings

Способ 2

В качестве альтернативы можно добавить ad_enable_gc = false в конфигурацию домена. Тогда глобальный каталог будет использоваться только для междоменного членства в группах. Подробнее см. man sssd-ad .

2
ответ дан 3 December 2019 в 20:19

Теги

Похожие вопросы