问题标签 [sssd]
For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.
linux - SSSD 与 AD 领域加入机器 - 无密码 ssh 工作一次,然后提示输入密码下一次,然后再次工作
我的“一些”centos 8 主机有一个奇怪的情况。
首先,它们都具有完全相同的配置。但是,某些主机始终完美地允许从 AD (SSSD) 进行无密码登录,然后其他主机也可以正常工作,但仅在每第二次登录尝试时才能正常工作。
这就是发生的事情:
- 你
ssh somehost- 它无需密码即可工作 exit- 再次,
ssh somehost- 它提示输入密码 - 你不输入密码,而只是
ctrl+c - 再次运行
ssh somehost- 无需密码即可完美运行
我完全被难住了,SSSD 所有领域的冗长 9 都没有告诉我什么。我什至应该在哪里寻找?
有什么想法可能导致这种情况,甚至是在哪里寻找?!?
amazon-ec2 - Active Directory 用户登录失败,出现错误:pam_sss(sshd:account): Access denied
我正在尝试将我的 AWS redhat linux 机器加入到 Azure AD 中。我已经按照本文档进行了所有必需的配置。
错误信息
我的 ec2 windows 机器已成功加入域,我可以使用我的用户名登录。
有人可以帮我这里可能缺少什么配置吗?
linux - *nix 主机的 sssd.conf ldap_user_search_base 多个 ous
我无法正确配置我的 sssd.conf 文件。我在不同的 OU 中有以下 3 个用户。我想配置 sssd.conf 的 ldap_user_search_base 以便它只返回来自 user1 和 user2 OU 的用户,而不是来自 user3 OU 的用户。
如何配置 ldap_search_base 和 ldap_user_search_base 字段?例如,这将返回所有 3 个用户(但我只希望返回 user1 和 user2!)。提前致谢。
谢谢!
active-directory - 无法运行具有不同 FQDN 的 sssd + AD 域控制器
我有以下用于 ssh 管理的 sssd + 广告设置。
我不想将 AD dns 添加到我的 /etc/resolv.conf 中,我们想使用云提供的 dns 解析器来解析我们的域控制器主机名 *.example.net
当我将它们添加为
sssd 失败 -
这是我的 sssd.conf 和 krb.conf
sssd.conf -
krb5.conf
我知道,我的设置中有不同的 DNS fqdn,但无法避免它们。
如果我设置 sssd 有效 -
但是我必须添加 AD DNS 作为我的解析器,或者让它们 /etc/hosts 我想避免。
任何与有用相关的帮助。
linux - 删除后清除 SSSD 缓存
我有一个关于 SSSD 缓存的问题。修改用户/添加到组时,缓存会自行清除,这是正确的。问题是从组中删除用户时。缓存没有清理,并且在 getent passwd 中仍然可见。我必须做“su用户”。
我的配置 sssd.conf
我看到了选项:account_cache_expiration,但只有几天。删除用户后是否有任何选项可以清除缓存?不是 X 天后,而是几秒后?
active-directory - SSSD 与 Kerberos 身份验证说明
目前,我正在尝试从 RHEL(CentOS 8)针对 Windows AD / Kerberos 实现 SSSD 身份验证。因此,我使用该服务器加入了域。
但我不完全理解和需要澄清的是:
SSSD 服务如何准确地验证/获取用户信息?
当配置为使用 Kerberos 时,它是否仅通过 Kerberos 对用户进行身份验证并从中接收用户信息,还是在身份验证后通过 LDAP 获取其他用户信息?是否需要配置额外的 LDAP 服务器?
这和 SSSD AD 身份验证有什么区别,集成这种身份验证的首选/“更好”方式是什么?
我在研究时发现的一些配置的方式让我认为只有身份验证是通过 Kerberos 完成的,而其他用户信息是通过 LDAP 获取的,但我不确定这一点。
提前致谢!
ldap - sssd 使用 access_provider 做什么?
我想允许用户在服务器上 su ,但不允许 ssh 到它。我使用了 access_provider = ldap、ldap_access_order = filter,并且过滤器检查用户的 LDAP 对象中的主机条目。这适用于 ssh 访问控制。但是,显然 su 也对此进行了查询,然后拒绝访问。拆分这种行为的好方法是什么?
linux - 使用 realmd 将 linux 主机加入到 AD 服务器。无法从命令行更改广告用户密码
使用各种 linux 主机对一台 AD 服务器进行相当简单的设置。我们使用以下方法将 linux 主机附加到我们的域:
我们的 /etc/sssd/sssd.conf 看起来像:
从这里我们可以作为 linuxaccess 组的一部分的 AD 用户登录。我试图重置密码,但得到:
/var/log/secure 显示:
关于为什么似乎不支持更改密码或配置错误可能是什么的想法?在 pam.d 中猜测一些东西,但不自信。
ldap - 是否可以在 sssd 的 ldap 主目录中进行子字符串替换
我知道 sssd 可以override_homedir选择修改从 ldap 获取的主路径,但它的替换模式太简单了。
考虑这种情况:用户是bob,它的组是class1,它来自 ldap 的主目录是/remote/home/class1/bob。现在我们要将某个特定节点上的主目录更改为/local/home/class1/bob.
但是,sssdoverride_homedir仅提供%u来表示用户名bob,组class1没有模式。因此我们不能直接设置override_homedir为/local/home/%g/%u 之类的东西。
另一种修改方法是将子字符串remote替换为local,好像在 bash 脚本中我们可以写${home/remote/local}。override_homedir提供%o来表示原始 ldap 主路径,但它是否支持子字符串替换?
linux - 身份提供者与身份验证提供者
身份提供者和身份验证提供者有什么区别?这专门用于 Redhat 6/7 中的系统安全服务守护程序 (SSSD)。我假设身份提供者就像谷歌或 Facebook 提供登录到第 3 方网站,但我不确定身份验证提供者做什么?