GNU/Linux >> Znalost Linux >  >> Cent OS

Uživatelé služby Active Directory se nemohou přihlásit přes SSH pomocí SSSD a dostává se jim „Povolení odepřeno, zkuste to znovu“ [CentOS/RHEL]

Uživatelé služby Active Directory se nemohou přihlásit přes SSH pomocí SSSD a dostává se jim „Povolení odepřeno, zkuste to znovu“ [CentOS/RHEL]

Problém

1. Integrace linuxového uzlu se službou Active Directory pro ověřování se nezdaří s chybou „Oprávnění odepřeno, zkuste to znovu“ při připojování pomocí ssh:

# ssh [hostname] -l [username]@[DOMAINNAME].com
The authenticity of host '[hostname] ([IP ADDRESS])' can't be established.
RSA key fingerprint is 4f:3b:ba:b2:b7:6e:d0:b7:dd:a6:4b:32:ac:e3:58:63.
Are you sure you want to continue connecting (yes/no)? yes
Warning: Permanently added '[hostname],[IP ADDRESS]' (RSA) to the list of known hosts.
[username]@.com@[hostname]'s password:
Permission denied, please try again.
[username]@.com@[hostname]'s password:

2. Ověření správnosti uživatelského jména a hesla:

$ su - [username]
# su - [username]@[DOMAINNAME].com

3. Selhání ověření lze sledovat v /var/log/secure historie:

Apr 3 23:20:24 [hostname] sshd[323944]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=ittwhxh1n62.na.admworld.com user=[username]
Apr 3 23:20:24 [hostname] sshd[323944]: pam_tally2(sshd:auth): user [username] (1494516080) tally 11, deny 5 <<<<<<<<<<<<<
Apr 3 23:20:26 [hostname] sshd[323944]: Failed password for [username] from [IP ADDRESS] port 51803 ssh2
Apr 3 23:20:34 [hostname] sshd[323944]: pam_tally2(sshd:auth): user [username] (1494516080) tally 12, deny 5 <<<<<<<<<<<<<
Apr 3 23:20:37 [hostname] sshd[323944]: Failed password for [username] from [IP ADDRESS] port 51803 ssh2
Apr 3 23:20:40 [hostname] sshd[323944]: PAM 1 more authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=ittwhxh1n62.na.admworld.com user=[username]
Apr 3 23:24:37 [hostname] sshd[338364]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=ittwhxh1n62.na.admworld.com user=[username]
Apr 3 23:24:37 [hostname] sshd[338364]: pam_tally2(sshd:auth): user [username] (1494516080) tally 13, deny 5 <<<<<<<<<<<<<
Apr 3 23:24:39 [hostname] sshd[338364]: Failed password for [username] from [IP ADDRESS] port 51893 ssh2

Kořenová příčina

Problém s jedním nebo více konfiguračními soubory:system-auth-ac a password-auth-ac , modul sssd byly okomentovány v konfiguračním souboru níže:

$ grep sss /etc/pam.d/system-auth-ac 
# auth sufficient pam_sss.so use_first_pass
# account [default=bad success=ok user_unknown=ignore] pam_sss.so
# password sufficient pam_sss.so use_authtok
# session optional pam_sss.so
$  grep sss /etc/pam.d/password-auth-ac 
# auth sufficient pam_sss.so use_first_pass
# account [default=bad success=ok user_unknown=ignore] pam_sss.so
# password sufficient pam_sss.so use_authtok
# session optional pam_sss.so

Modul pam_tally2 je v konfliktu s moduly sssd:

$ cat etc/pam.d/sshd
#%PAM-1.0
auth required pam_sepermit.so
auth include password-auth
##auth required pam_tally2.so deny=5 onerr=fail serialize >>>>
#auth required pam_tally2.so deny=5 onerr=fail lock_time=600 serialize
# EXADATA ACCESS CONTROL via /etc/exadata/security/exadata-access.conf
account required pam_nologin.so
account include password-auth
account required pam_tally2.so
password include password-auth
pam_selinux.so close should be the first session rule
session required pam_selinux.so close
session required pam_loginuid.so
pam_selinux.so open should only be followed by sessions to be executed in the user context
session required pam_selinux.so open env_params
session required pam_namespace.so
session optional pam_keyinit.so force revoke
session include password-auth
session required pam_limits.so
# cat /etc/pam.d/login
auth required pam_tally2.so deny=5 onerr=fail serialize
# cat/etc/pam.d/login
account required pam_tally2.so

Řešení

Poznámka :Dejte pozor, abyste odstranili všechny záložní soubory v adresáři /pam.d/.

1. Komentář pam_tally2 řádků ve všech ověřovacích souborech pod /etc/pam.d/* adresář.

2. Zakomentujte řádek uvedený v části příčiny [Povolit moduly sssd], jak je uvedeno níže.

$ grep sss /etc/pam.d/system-auth-ac 
auth sufficient pam_sss.so use_first_pass
account [default=bad success=ok user_unknown=ignore] pam_sss.so
password sufficient pam_sss.so use_authtok
session optional pam_sss.so 
$ grep sss /etc/pam.d/password-auth-ac
auth sufficient pam_sss.so use_first_pass
account [default=bad success=ok user_unknown=ignore] pam_sss.so
password sufficient pam_sss.so use_authtok
session optional pam_sss.so


Cent OS

  1. [CentOS 7 Apache]:Oprávnění odepřeno:oprávnění k souboru zakazují přístup k serveru

  2. Poštovní server s virtuálními uživateli a doménami využívajícími Postfix a Dovecot na CentOS 6 VPS

  3. Zakažte nebo povolte přihlášení SSH root a zabezpečte přístup SSH v CentOS 7

  1. Vytvářejte, spravujte a mažte uživatele a skupiny ve službě Active Directory

  2. Zakažte přímé přihlášení roota a uživatelský přístup přes SSH k serveru

  3. Jak omezit přihlášení uživatelů a skupin služby Active Directory ke klientovi CentOS/RHEL 7

  1. Uživatelé služby Active Directory se nemohou přihlásit přes SSH pomocí SSSD a dostává se jim „Povolení odepřeno, zkuste to znovu“ [CentOS/RHEL]

  2. Výběr SSSD nebo Winbind &Samba pro integraci Active Directory v CentOS/RHEL

  3. Po integraci do domény Active Directory (AD) nelze ssh na server [CentOS/RHEL 7]