Problém
Systém CentOS/RHEL 7.3 byl úspěšně nakonfigurován pro připojení k doméně Active Directory. Uživatel v systému OL se nemůže přihlásit a v systémovém protokolu /var/log/messages jsou nalezeny následující položky:
2017-06-28T11:28:41.404719-04:00 adclient sshd[10352]: pam_sss(sshd:auth): authentication success; logname= uid=0 euid=0 tty=ssh ruser= rhost=X.X.X.X user=test1 2017-06-28T11:28:41.573420-04:00 adclient sshd[10352]: pam_krb5[10352]: account checks fail for '[email protected]': user disallowed by .k5login file for 'test1'
Řešení
První řádek ve výše uvedeném výstupu /var/log/messages označuje, že se klient Linux připojil k serveru AD pomocí přihlašovacích údajů uživatele test1. Druhý řádek hlásí, že použití účtu je lokálně blokováno pam_krb5 Kontrola PAM (Pluggable Authentication Modules). Tento modul je řízen $(HOME)/.k5login soubor.
Náprava
Preferovaným řešením je přidat principály serveru do souboru ${HOME}/.k5login pro jednotlivé uživatele. Nahlédněte do K5LOGIN manuálová stránka pro další informace o přidávání položek do tohoto souboru.
Řešení
Pokud nechcete používat funkci seznamu řízení přístupu (ACL), tyto kroky tuto funkci deaktivují v celém systému:
1. Nezapomeňte vytvořit zálohu /etc/krb5.conf před provedením jakýchkoli změn.
2. Přidejte následující řádky do souboru /etc/krb5.conf:
# vi /etc/krb5.conf
[appdefaults]
pam = {
debug = false
TEST.ORACLE.COM = {
ignore_k5login = true
}
} 3. Uložte soubor.