问题标签 [sssd]

我是 FreeRadius 的新手，所以我的知识并不深入。我正在尝试配置一个中心半径来处理任何基于网络的系统（交换机、路由器、防火墙和 VPN），以在最终用户尝试通过 SSH 和/或 VPN 进入系统时对其进行身份验证。我所有的设备都支持半径。

环境：

• 操作系统 = CentOS 7
• 自由半径 = 3.0.13
• 谷歌身份验证器 libpam = 1.09
• 我没有发布我的配置文件，因为它们完全包含在参考链接中。为了便于阅读，我会将它们发布在后续帖子中

参考： 我按照这个页面让大部分系统运行（SSLVPN Two - Factor Authentication with Google Authenticator

什么工作：

• 使用 radtest，我可以使用 AD 密码+OTP 对基于 AD 的用户进行身份验证
• 能够获得网络交换机身份验证和访问接受回复消息，以包括用户组的自定义 VSA（仅基于用户名在授权后区域中使用 unlang）。不理想，但只是为了测试这个概念。

下一步（问题）：我希望能够最终决定最终用户是否被授予访问 VPN 或通过 AD 安全组切换的权限。因此，据我了解，我可以在 auth 模块或 post-auth 中执行此操作。我相信正确的位置可能是使用 unlang 进行身份验证后（但如果这不是执行此操作的一般区域，请纠正我）。我不知道我需要如何/在哪里执行 LDAP 查找以获取用户名 AD 安全组信息。理论上，一旦我有了用户名和组信息，就可以在多个过滤器中使用它们来声明他们是否可以访问一组系统。谢谢

我已经在 aws 中的 Ubuntu 18.04 服务器上配置了 sssd 以加入 AD 域。
我已经设法使用活动目录帐户成功登录，所以我假设所有 AD 服务都在这台机器上正确配置。

当我尝试更改密码（使用 passwd）时出现此问题。

至于错误消息，我已经检查了复杂性要求，但不是那个（我是设置这些的），而且我还发现这是一个通用错误消息。
将 debug_level 设置为 10（使用sudo sss_debuglevel 10）后，我再次尝试，在输出中得到相同的消息，我得到了这个 sudo cat /var/log/sssd/krb5_child.log

（...粘贴最后 4 行）

我没有发现太多使用该错误代码（1432158228），而且我对在 linux 上使用 AD 不熟悉。我做错了吗？有没有更好的方法从 linux 更改 AD 密码？

谢谢！

我已经在使用 Realm 连接到 Microsoft AD 森林的 linux 机器上配置了 SSSD。

我的最终目标是使用存储在 Microsoft AD 中的 SSH 密钥登录 CentOS 机器

以下是设置详细信息：

• 适用于 Microsoft AD 的 EC2 Windows
• 配置了 SSSD 的 EC2 Amazon Linux

我可以使用 AD 用户名和密码登录 linux 机器。

我现在已将 SSH 公钥存储在 Microsoft AD altSecurityIdentities用户属性以及sshPublicKeys属性中。

以下是 SSSD 的配置文件

我在 sssd_nsss 日志中遇到错误

SSSD_SSH 日志如下

当我尝试使用以下命令使用 ssh 登录时

我收到以下错误

我已经尝试过以下事情

• 挖

• id demo_user@test.com

  uid=1277801117(demo_user) gid=1277800513(域用户) groups=1277800513(域用户)

我已经尝试重新启动 SSSD 恶魔，但它并没有像几个论坛中所建议的那样有帮助

有什么办法可以使这项工作

在远程桌面（运行 CentOS7）上安装 SSSD 时遇到问题，并且偶尔使用我的 AD 凭据登录（包括通过 ssh）时遇到问题。以 root 身份登录并检查 sssd 进程的状态，我明白了...

从这里我可以su进入我的常规 AD 关联帐户，通常一段时间后，我看到...

...然后尝试使用我的 AD 凭据登录远程桌面确实有效（如果su从 root 进入我的帐户与此有任何关联，则 IDK ）。

我的/etc/krb5.conf文件看起来像...

有谁知道为什么会发生这种情况？任何进一步的调试建议（很难测试，因为似乎很少发生，而且我对 SSSD 没有太多经验来强制它发生）？

我正在尝试使用 Logstash grok 模式解析 SSSD 恶魔日志以获得更好的可见性

日志样本

我创建了自定义 Grok 模式，如下所述：

对于下面所述的查询，我使用上述自定义 grok 模式获得以下输出

输出：

我只需要提取括号中的值而不是全部内容

我尝试跳过括号，但它仅适用于第一个值

下面的查询跳过第一个括号

我需要得到以下输出

如果有人可以帮助我，那就太好了

谢谢

尝试绑定一个ubuntu 18.04（由于与其他应用的兼容性问题，需要使用这个特定版本）我使用了一个mod脚本：

在进行领域加入时，它会卡在：

使用 GSS-SPNEGO 进行 SAL 绑定

就挂在那里，我注意到的另一件事是似乎没有创建 xxxx.keytab....

如果在 ubuntu 20.04 上运行 --> 运行完美！？

任何帮助表示赞赏

所以我刚开始将我们所有的 centos 8 服务器升级到 centos 流，而第一个服务器似乎很顺利，只需要这些命令：

但是当我尝试使用我的 AD 信用登录时，它不会让我进入。我已经尝试重新加入域并确保我的信用仍然良好。唯一的错误是在消息日志中显示： Credentials cache I/O operation failed我发现了一些内容，说明这是因为 /tmp 中不存在缓存文件，所以我从我的其他服务器之一复制了它们，但仍然没有运气。其他日志文件中没有其他错误或任何有用的信息，只是安全密码不正确。我只是想知道是否有其他人遇到过这个问题。

#Centos7
我尝试将 AD 连接到我的服务器，这是我所做的
1.)yum install sssd realmdoddjoboddjob-mkhomedir adcli samba-common samba-common-tools krb5-workstation openldap-clients policycoreutils-python -y
2.) 将 AD-Server 主机名和 IP 添加到 /etc/resolv.conf
3.) realm join --user=admin AD-Server
3.1)

4. id [user]
   4.1) 此命令有效，但没有给我 AD 用户的 ID，但一些 ID 是（最有可能）这个本地用户的。
   4.2)id [user@example]
   -> id: 不存在这样的用户

然后我尝试刷新 ssd cacke 并配置 sssd.conf 和 krb5.conf，在那里我根据这个问题找到了其他帖子的说明。但它仍然不起作用..

最近在 RHEL 8.3 操作系统中安装了 IPA 客户端。IPA 客户端执行良好，但是当尝试对ssh另一台主机执行操作时，它失败并且没有提示输入密码，也没有密码身份验证，没有运气。故障排除后发现禁用sssd-kcm.socket和sssd-kcm.socket服务使 ssh 到另一台主机按预期工作。但是在运行kinit admin时它返回以下错误kinit: Connection denied while getting default ccache。是的，对于禁用sssd-kcm.socket和sssd-kcm.socket面对此类问题，这是显而易见的，但在这种情况下，我如何才能克服此类问题以及按预期启用sssd-kcm.socket&sssd-kcm.socket和连接。ssh

我已经用我的 Ubuntu 20.04.2 LTS VM 加入了我的广告域（我遵循了这个文档）并且我用 Ubuntu 加入了 AD 域

realm list显示下面的输出

但是，当我尝试如下发现任何 AD 用户时

1. id swapnil@WIN2016.local 或
2. id swapnil@win2016.local 或
3. id swapnil

它总是显示错误为id: ‘swapnil@WIN2016.local’: no such user..我在这里缺少什么？

注意：在我的win2016.localAD 服务器上，swapnil用户存在