Вопросы Теги

Вход по SSH с использованием SSSD (Windows Server 2016)

Я тестирую интеграцию SSSD RedHat 7.2 с Windows Server 2016 (AD). Я хочу получить доступ через SSH, используя пользователей AD в определенной группе (allow_ssh_admin). Я настроил несколько файлов и вижу машину в AD, но не могу получить доступ с помощью соединения SSH.

Конфигурация

sssd.conf 

[sssd]
domains = ad.domain.com
config_file_version = 2
services = nss, pam

[domain/ad.domain.com]
id_provider = ad
auth_provider = ad
access_provider = ad

default_shell = /bin/bash
fallback_homedir = /home/%d/%u

use_fully_qualified_names = True

# Uncomment if you want to use POSIX UIDs and GIDs set on the AD side
ldap_id_mapping = True

smb.conf 

[global]
        workgroup = AD
        security = ADS
        # WARNING: The setting 'security=ads' should NOT be combined with the 'password server' parameter.
        # password server = MACHINENAME.AD.DOMAIN.COM
        realm = AD.DOMAIN.COM

        log file = /var/log/samba/%m.log

        max log size = 50
        template shell = /bin/bash
        # 'winbind separator = +' might cause problems with group membership.
        # winbind separator = +
        winbind enum users = Yes
        winbind enum groups = Yes
        winbind use default domain = Yes
        template homedir = /home/%D/%U
        idmap config AD : schema_mode = rfc2307
        idmap config AD : range = 10000000-29999999
        idmap config AD : default = yes
        idmap config AD : backend = rid
        idmap config * : range = 20000-29999
        idmap config * : backend = tdb

nsswitch. conf 

passwd:     files sss winbind
shadow:     files sss winbind
group:      files sss winbind
hosts:      files dns myhostname

bootparams: nisplus [NOTFOUND=return] files

ethers:     files
netmasks:   files
networks:   files
protocols:  files
rpc:        files
services:   files sss

netgroup:   files sss

publickey:  nisplus

automount:  files
aliases:    files nisplus

Также я создал группу в AD (allow_ssh_admin) и назначил пользователя в эту группу. Я изменил ssh conf, чтобы разрешить доступ к этой группе:

sshd_config 

[...]
AllowGroups root DOMAIN\allow_ssh_admin

Когда я пытаюсь получить доступ через ssh ... 

login as: DOMAIN\User
DOMAIN\User@ip password:

У меня есть эта ошибка в защищенном журнале: 

Mar 27 05:21:13 machine sshd[20175]: User User from IP not allowed because none of user's groups are listed in AllowGroups
Mar 27 05:21:13 machine sshd[20175]: input_userauth_request: invalid user DOMAIN\\\\User [preauth]
Mar 27 05:21:23 machine sshd[20175]: pam_sss(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=IP user=DOMAIN\User
Mar 27 05:21:23 machine sshd[20175]: pam_sss(sshd:auth): received for user DOMAIN\User: 10 (User not known to the underlying authentication module)
Mar 27 05:21:23 machine sshd[20175]: Failed password for invalid user DOMAIN\\User from IP port 53406 ssh2

Еще одна вещь. Я вижу, как машина присоединяется к AD, и я могу получить доступ как пользователь root. Я могу использовать wbinfo --domain-users и wbinfo --domain-groups , и я получаю пользователей и группирует информацию так ... это странно.

Кто-нибудь может мне помочь?

Большое спасибо

0
задан 27 March 2017 в 12:34
1 ответ

Проблема заключалась в том, что Windows Server 2016 имеет три интерфейса с тремя разными IP-адресами. (10.xxx, 125.xxx, 192.xxx).

У него не было никакой политики DNS, поэтому, если он пытается подключиться к серверу, он отвечает через разные интерфейсы каждый раз, когда я запускаю эхо-запрос.

Хост может не достигает сервера два раза из трех.

Удаление записей DNS, относящихся к другим сетям (125.xxx и 192.xxx), работает, потому что я хотел получить ответ от 10.xxx

Спасибо

0
ответ дан 24 November 2019 в 04:45

Теги

Похожие вопросы