Похожие вопросы

Проблемы при подключении с помощью MongoDB Compass
Firefox password manager-несколько логинов для HTTP аутентификации
Служба электронной почты без проверки подлинности SSL
Поддерживает ли Firefox подстановочные знаки в NTLM / Negotiate URI для автоматического входа?
В Firefox 31 продолжает просить для проверки подлинности прокси-сервера
Требуется двойная аутентификация с подключением Nas в Linux Mint
Клиент SMTP командной строки с поддержкой аутентификации SASL
можно ли изменить способ аутентификации linux с помощью демона (в частности, FC4)?
Chrome не запрашивает пароль прокси-сервера
freeradius + daloRadius WebGUI не может использовать устройства broccade и a10 вместе
Каковы преимущества PIV auth для персонального ноутбука Mac?
Использовать пользовательский механизм аутентификации SSH (OpenSSH)
Почему Google Chrome не сохраняет имя пользователя/пароль прокси-сервера?
Проверка подлинности Windows с помощью Google Chrome
Не удается получить доступ к общей папке Samba из Windows 8, но я могу в Windows 7

pam sss доступ запрещен с проверкой подлинности kerberos ok

Я пытаюсь использовать sssd с проверкой подлинности kerberos и ldap на Ubuntu 18.04 (сервер и клиентская машина). На стороне клиента Ubuntu я установил sssd sssd-tools пакеты. Но когда я хочу войти в alice, пользователя моего ldap, я не могу. Я вижу, что сервер доставляет билет (в журналах сервера kerberos), и клиент получает билет в кэше. Mkhomedir хорошо присутствовать в /etc/Пэм.d / commom-сессия.

я обнаружил, что mkhomedir должны включить, так что я побежал pam-auth-update --package mkhomedir но ничего не измененный.

авторизации.журнал говорит, что:

Jul 19 14:30:12 virtualBox gdm-password]: pam_unix(gdm-password:auth): authentication failure; logname= uid=0 euid=0 tty=/dev/tty1 ruser= rhost=  user=alice
Jul 19 14:30:13 virtualBox gdm-password]: pam_sss(gdm-password:auth): authentication success; logname= uid=0 euid=0 tty=/dev/tty1 ruser= rhost= user=alice
Jul 19 14:30:13 virtualBox gdm-password]: pam_sss(gdm-password:account): Access denied for user alice: 6 (Autorisation refusée)
Jul 19 14:30:32 virtualBox gdm-password]: pam_unix(gdm-password:auth): authentication failure; logname= uid=0 euid=0 tty=/dev/tty1 ruser= rhost=  user=alice
Jul 19 14:30:32 virtualBox gdm-password]: pam_sss(gdm-password:auth): authentication failure; logname= uid=0 euid=0 tty=/dev/tty1 ruser= rhost= user=alice
Jul 19 14:30:32 virtualBox gdm-password]: pam_sss(gdm-password:auth): received for user alice: 17 (Échec lors de la définition des informations d'identification de l'utilisateur)
Jul 19 14:30:39 virtualBox gdm-password]: pam_unix(gdm-password:auth): authentication failure; logname= uid=0 euid=0 tty=/dev/tty1 ruser= rhost=  user=alice
Jul 19 14:30:39 virtualBox gdm-password]: pam_sss(gdm-password:auth): authentication success; logname= uid=0 euid=0 tty=/dev/tty1 ruser= rhost= user=alice
Jul 19 14:30:39 virtualBox gdm-password]: pam_sss(gdm-password:account): Access denied for user alice: 6 (Autorisation refusée)`

на getent passwd <ldap user> строительство. Я также добавил к krb5.ключей клиента.

вот мои конфигурационные файлы.

допускается использование разных механизмов.файл conf:

[sssd]
debug_level = 0xFFF0
config_file_version = 2
services = nss,pam
domains = STAGENFS.FR

[nss]
debug_level = 0xFFF0
filter_users = root
filter_groups = root

[pam]
debug_level = 0xFFF0
offline_credentials_expiration = 1

[domain/STAGENFS.FR]
debug_level = 0xFFF0
ldap_schema = rfc2307
ldap_search_base = ou=tl

id_provider = ldap
auth_provider = krb5
chpass_provider = krb5
access_provider = ldap

ldap_uri = ldaps://ldap02.stagenfs.fr
ldap_referrals = False
ldap_id_use_start_tls = False
cache_credentials = True
account_cache_expiration = 1
enumerate = True
ldap_default_bind_dn = cn=proxyuser,ou=private,ou=tl
ldap_default_authtok_type = password
ldap_default_authtok = ProxyUser123#
ldap_tls_cacert = /etc/ssl/certs/cacert.pem

krb5_realm = STAGENFS.FR
krb5_canonicalize = False
krb5_server = kdc.stagenfs.fr
krb5_kpasswd = kdc.stagenfs.fr
krb5_ccachedir = /cache

файл nsswitch файл:

# /etc/nsswitch.conf
#
# Example configuration of GNU Name Service Switch functionality.
# If you have the `glibc-doc-reference' and `info' packages installed, try:
# `info libc "Name Service Switch"' for information about this file.

passwd:         compat systemd sss
group:          compat systemd sss
shadow:         compat sss
gshadow:        files

hosts:          files mdns4_minimal [NOTFOUND=return] dns myhostname
networks:       files

protocols:      db files
services:       db files sss
ethers:         db files
rpc:            db files

netgroup:       nis sss
sudoers:        files sss

у меня есть pam_sss.так в Пэм.d файлов:

# /etc/pam.d/common-account
    account [default=bad success=ok user_unknown=ignore]    pam_sss.so

# /etc/pam.d/common-auth
    auth    [success=1 default=ignore]  pam_sss.so use_first_pass

# /etc/pam.d/common-password
    password    sufficient          pam_sss.so use_authtok

# /etc/pam.d/common-session
    session required    pam_mkhomedir.so skel=/etc/skel/
    session optional            pam_sss.so

знаете ли вы, если sssd нужна libpam_krb5.и что ?
Если вы имеете любую идею, или если вам нужны больше информаций, то не смутитесь ! Спасибо тебе.

5
задан Charles
источник

1 ответов

Я думаю, вы смешиваете аутентификацию и авторизацию. Как видно из логов, фаза аутентификации успешно (это означает, что учетные данные были успешно проверен)...

19 июля 14:30:39 в VirtualBox ГДМ-пароль]: pam_sss(ГДМ-пароль для авторизации): аутентификация успеха; параметр logname= с uid=0 euid так=0 телетайп=в/dev/tty1 Русер= rhost= пользователь=Алиса

...но фаза авторизации не удается (это означает, что пользователь не разрешено использовать сервис независимо от учетных данных):

19 июля 14:30:39 в VirtualBox ГДМ-пароль]: pam_sss(ГДМ-пароль:счет): Доступ запрещен для пользователя Алиса: 6 (специального разрешения refusée)

так как это сообщение было показано самой pam_sss, оно связано с настройками SSSD. Вы настроили ldap как провайдер доступа (авторизации):

[domain/STAGENFS.FR]
access_provider = ldap

это означает, что права доступа контролируются the ldap_access_order настройка. У вас его нет, но его значение по умолчанию -filter (согласно руководству sssd-ldap (5)).

"фильтр" означает, что проверка доступа осуществляется с помощью ldap_access_filter настройка запроса к серверу LDAP. У вас также нет этого параметра, и он не имеет значения по умолчанию-он обязателен, если вы хотите использовать режим "фильтр".

необходимо указать правильные правила авторизации - либо определиться с фильтром, который вы хотите применить, либо изменить ldap_access_order настройка (или даже access_provider) к чему-то еще.

0
отвечен grawity 2018-07-20 08:43:37
источник

Другие вопросы authentication kerberos ldap pam