Ошибка аутентификации Ubuntu SSSD с дочерним/дочерним доменом AD
Нужна помощь в аутентификации сервера Linux (Ubuntu ), который присоединен к дочернему домену. Я вижу имя сервера на контроллере домена и могу успешно выполнить тест аутентификации, однако я не могу войти в систему с моей учетной записью домена. Похоже, что где-то в настройках конфигурации для конфигурации SSSD или KRB5 необходимо указать дочерний домен. Кроме того, это не проблема доверия к домену, поскольку серверы Windows, присоединенные к дочернему домену, принимают учетные данные от родительских учетных записей.
kinit -V user@DOMAIN.SYS
Authenticated to Kerberos v5
root@SERVER:/var/log/sssd# systemctl status sssd
Oct 22 17:55:09 SERVER [sssd[ldap_child[27928]: Failed to initialize credentials using keytab [MEMORY:/etc/krb5.keytab]: Client 'SERVER$@DOMAIN.SYS' not found in Kerberos database. Unable to create GSSAPI-encrypted LDAP connection.
ОШИБКА в файле журнала SSSD
Fri Oct 22 17:32:51 2021) [sssd[be[DOMAIN.SYS]]] [confdb_get_domain_internal] (0x0010): Unknown domain [CHILD.DOMAIN.SYS]
(Fri Oct 22 17:32:51 2021) [sssd[be[DOMAIN.SYS]]] [confdb_get_domains] (0x0010): Error (2 [No such file or directory]) retrieving domain [CHILD.DOMAIN.SYS], skipping!
КОНФИГУРАЦИЯ SSSD
root@SERVER:cat /etc/sssd/sssd.conf
[sssd]
services = nss, pam
config_file_version = 2
domains = DOMAIN.SYS, CHILD.DOMAIN.SYS
[nss]
default_shell = /bin/bash
[domain/DOMAIN.SYS]
id_provider = ad
access_provider = ad
override_homedir = /home/%d/%u
ad_hostname = server.child.domain.sys
#ad_server = dc.child.domain.sys
#ad_domain = DOMAIN.SYS
КОНФИГУРАЦИЯ KRB5
root@SERVER: cat /etc/krb5.conf
[libdefaults]
default_realm = DOMAIN.SYS
ticket_lifetime = 24h #
renew_lifetime = 7d
rdns = false
The following krb5.conf variables are only for MIT Kerberos.
kdc_timesync = 1
ccache_type = 4
forwardable = true
proxiable = true
Как вы настроили SSSD? Вы сделали realm discover, а затем realm join? Если вы этого не сделали, это рекомендуемый метод. Я настоятельно рекомендую просто сделать это.
Пробовали ли вы аутентифицироваться как пользователь дочернего домена?*getent passwd myuser@CHILD.DOMAIN.SYS
Судя по предоставленной вами плохо-форматированной информации, у вас есть два домена в sssd.conf
[sssd]
services = nss, pam
config_file_version = 2
domains = DOMAIN.SYS, CHILD.DOMAIN.SYS
[nss]
default_shell = /bin/bash
[domain/DOMAIN.SYS]
id_provider = ad
access_provider = ad
У вас есть раздел для [domain/CHILD.DOMAIN.SYS]. Что произойдет, если вы сделаете realm list? Это должно показать вам, что правильно настроено в вашем sssd.conf.
Я не уверен, нужно ли вам, чтобы оба домена были указаны в родительском-дочернем домене, но, возможно, сначала попробуйте настроить дочерний домен отдельно. Или, по крайней мере, поставить ребенка первым в списке domains.
domains = CHILD.DOMAIN.SYS
...
[domain/CHILD.DOMAIN.SYS]
id_provider = ad
access_provider = ad
Как вы пытаетесь аутентифицировать пользователя родительского домена? Вы пытаетесь использовать SSH или getentлокально на сервере? Используете ли вы полностью-полное имя для аутентификации пользователя родительского домена? например.getent passwd myuser@DOMAIN.SYS
Эта ошибка указывает на то, что он пытается использовать keytab с неправильным именем компьютера Client 'SERVER$@DOMAIN.SYS' . Он должен использовать SERVER$@CHILD.DOMAIN.SYS, если он присоединен к дочернему домену. Действительно ли таблица ключей сервера содержит правильное имя сервера для дочернего домена?
Вот почему я рекомендую упростить проблему, убедившись, что вы можете сначала войти в систему с учетными данными дочернего домена. Хотя я действительно думаю, что вам следует начать с realm join, если вы не использовали этот метод.
Попробуйте выполнить шаги по устранению неполадок здесь, особенно в разделах «Основы», «Бэкенд» и «Общий поставщик AD» :https://sssd.io/troubleshooting/basics.html
(, кстати, я действительно надеюсь, что суффикс вашего домена на самом деле не.SYS)