问题标签 [sssd]

问问题

For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.

76 问题
Newest
Active
Bountied
318
Unanswered
0 投票
0 回答
42 浏览

linux - struggling with reuse of pam_sss kerberos ticket

Windows admin wrapping my head around PAM/SSSD has been quite tough!

I have managed to to get pam_sss working with

  • login for specific appliction rstudio server (/etc/pam.d/rstudio)
  • containerized ubuntu
  • ldap/krb5 auth
  • against Microsoft Active Directory
  • without domain join realmd. (so all hand-configured. ouch)

the problem is with reuse of the ticket. i cant work out how it works..

I would like to configure pam_mount and ODBC to use the same ticket.

so

pam_sss creates a ticket with the follwoing naming which cannot be used by the "mount" command:

/tmp/krb5cc_uid_xxxx

however if i manually use kinit, it creates a ticket with the naming below, which can be easily reuse from the "mount" command:

/tmp/krb5cc_uid

the naming that pam_sss uses seems to be standard but again i just cant work out how that should be "discoverable" by any other services looking for a ticket, when it has the wrong naming..

some links..:

this seems to be where the pam_sss naming is defined - by a build flag --with-default-ccname-template

https://github.com/SSSD/sssd/blob/master/src/conf_macros.m4#L337

i want to integrate it into pam_mount to mount a cifs drive, which (i think) is SMB so will be able to use the cifs.upcall library.

And the way cifs.upcall resolves tickets is somehwere here in get_cachename_from_process_env

https://github.com/aaptel/cifs-utils/blob/master/cifs.upcall.c#L260

i also want to get MSSQL ODBC driver to use the ticket as well...

0 投票
0 回答
87 浏览

ubuntu - 以其他用户身份运行 Jenkins - 无法在启动时运行

在 Ubuntu 20.04 上使用 Jenkins。我关注了以下帖子:如何以不同的用户身份运行詹金斯并在另一个用户名下运行詹金斯,以便以不同的用户身份运行詹金斯。有问题的用户是使用 SSSD 集成的 LDAP,并且是 sudoers 文件中允许 sudo 的组的一部分。当 Jenkins 在启动时启动它失败并显示以下输出

一旦服务器运行,如果我手动启动 Jenkins,服务就会正常启动。SSSD 在启动时正确启动,我确保 /etc/init.d/jenkins 中的 LSB 标头最后启动 Jenkins(在 SSSD 和所有其他服务启动之后)。我已经尝试明确说明用户在 sudoers 文件中拥有 sudo 权限,没有任何区别,所以我认为这是“对 SSSD 的请求失败”的问题,而不是用户使用 sudo 的能力。

0 投票
0 回答
63 浏览

ldap - 将本地组添加到 Fedora 上的 ldap 登录用户

0 投票
0 回答
53 浏览

active-directory - 即使我拥有该文件,有时 chgrp 也无法在 NFS root_squash 和 AD/sssd 环境中工作

环境信息:这里有从 nfs 服务器挂载的数据文件夹 /public/data_share。要限制 root 用户,我必须在 nfs 服务器 /etc/exports 文件中为 /public/data_share 设置 root_squash。

public/data_share *(rw,sync,root_squash)

使用 Windows AD + Linux SSSD 作为用户系统,还有一个文件夹 /public/data_share/Shared_group/project/chenwk_grp_18 由域用户 lijiacheng_test 创建。

域用户 lijiacheng_test 属于组 chenwk_grp_18,见下文

目录信息如下

我想将文件夹组从“域用户”更改为“chenwk_grp_18”,使用以下命令

操作不允许的错误抛出。

可以看到域用户lijiacheng_test,属于很多组。如果域用户只属于 1-2 个组,则相同的命令可以正常工作。

我对 chenwk_grp_03 文件夹做了同样的事情,它以前工作过,当时,lijiacheng_test 只属于 2 个组。

drwxr-x--- 2 lijiacheng_test chenwk_grp_03 6 Apr 15 17:52 chenwk_grp_03

我也使用新用户,做了同样的事情,它也有效。

drwxr-x--- 2 chenwk0412 domain users 6 Apr 16 10:51 chenwk_grp_19

0 投票
0 回答
65 浏览

ldap - 在 RHEL8 上配置 SSSD 以使用 LDAP

我最近在主机上安装并设置了 sssd、pam 和 ldap,以连接到 LDAP 服务器。但是它失败了。

LDAP 服务器配置为使用带有公共签名证书的 SSL。

这是我的sssd.conf 文件看起来像

有人可以帮忙吗?

0 投票
1 回答
31 浏览

linux - MS Active Directory 和 Linux:使用 kerberos 进行身份验证

我正在使用 AWS Directory 服务器(MS Active Directory 类型)对我的 Linux 机器进行身份验证。

我遵循了这一点,一切正常,但我有权限问题。

我将主要组设置为 ubuntu@example.net。gid 是 134402119。我想设置为 1000。我使用 Active Directory 用户和计算机工具通过属性编辑器将 Unix 属性 gidNumber 设置为 1000。但是 linux 机器使用的是 MS gid 而不是 Unix gid。

如何更改用户和组的 gid 以查看 Unix 属性而不是我的 Unix 机器中的 MS 属性?

0 投票
1 回答
72 浏览

sssd - MS Active Directory 和 Linux:使用 sssd 进行身份验证

我正在使用 AWS Directory 服务器(MS Active Directory 类型)对我的 Linux 机器进行身份验证。

我遵循了这一点,一切正常,但我对/etc/sssd/sssd.conf的配置有误。

在将 linux 机器添加到 MS 域之前,这是我的 sssd.conf

运行后

正如您在输出日志中看到的,主机名从example3-core-test01.example.net被截断为example3-CORE-TES$。这发生在运行时。机器以截断的名称加入 MS 目录。然后,将名称更改为/etc/sssd/sssd.conf没有任何意义。

由于我有更多具有此模式名称的机器,因此我遇到了问题。

这是加入后的文件/etc/sssd/sssd.conf。

我有两个问题:

  • 它可以解决名称被截断的问题吗?
  • 我想添加一些配置,例如dyndns_update_ptr = False。有可能这样做吗?
0 投票
0 回答
167 浏览

linux - 没有名为 _dbus_bindings 的模块 fedora 34

今天早上重启电脑,发现系统安全服务守护进程(SSSD)和Firewalld服务没有启动,于是我用systemctl status查看问题,得到了
Firewalld:

固态硬盘:

然后我尝试打开自动错误报告工具(ABRT)并没有打开,所以我使用终端打开并找到了这个 ABRT在终端的输出

我最近使用“dnf update”更新了所有应用程序,Python 3.9.5(仅供参考,不知道这是否是原因)就是其中之一。

我尝试使用命令“firewalld”使用终端手动运行firewalld输出

所以我重启了电脑,然后fsck失败了,所以系统自动进入紧急模式,然后它清除了一些部分,我在紧急模式下使用终端重新启动

Firewalld 和 SSSD 仍然失败,这是因为 DBus

我现在该怎么办?

提前致谢

0 投票
0 回答
492 浏览

dns - 带 AD 的 SSSD - 动态 DNS 未更新,因为客户端主机名与域 FQDN 不同

我有以下无密码 SSH 设置 -

  • Centos 7 上的 sssd (1.16.5)
  • 活动目录与Secure Only Dynamic Updates
  • 使用 Kerberos TGT 的无密码 ssh
  • 客户端主机名 - client1.int.example.com
  • AD 域名 - ad.example.net
  • sssd.conf 有配置ad_hostname = client1.ad.example.net

此设置工作正常,但每当已加入 AD 域的服务器使用新的私有 IP 和相同的主机名重新启动时,无法更新其 DNS 并出现以下错误 -

当设置 sssd 日志级别 = 9 时,收到以下附加消息 -

出现上述错误是因为我的客户端主机名和 AD 域 fqdn 不同。我们不想设置AD Dynamic Updates = Unsecure.

我怎样才能解决这个问题?

0 投票
0 回答
235 浏览

join - SSSD 和领域加入主要问题

我有一个有趣的。我使用领域加入创建并加入域的新主机,他们提出了一个拥有两次域的主体。

/var/log/sssd/krb5_child.log

现在关键部分是\@MYDOMAIN@MYDOMAIN.

简单地说,为什么?这是在哪里定义的,我该如何解决?

谢谢,亚伦。


12345678910