Проблема с подключением к пользователю Active Directory через ограничение “Войти на”

Вопрос или проблема

ldapsearch -x -H <AD_server> -D "cn=user_test,cn=users,dc=<dc1>,dc=<dc2>" -w <password> -b "cn=<dc1>,cn=<dc2>"

дополнительная информация: 80090308: LdapErr: DSID-0C090434, комментарий: ошибка AcceptSecurityContext, данные 52e, v4f7c

sudo apt install -y realmd libnss-sss libpam-sss sssd sssd-tools adcli samba-common-bin oddjob oddjob-mkhomedir packagekit
sudo hostnamectl set-hostname <hostname>.<domain_name>
echo 'nameserver <ldap_server_ip>' > /etc/resolv.conf
realm discover <domain_name>
realm --verbose join -U '<username>' <domain_name>

Ответ или решение

Проблемы с подключением к Active Directory через ограничение "Log On To"

Ваша ситуация связана с настройками безопасности Active Directory, которые могут иметь множество нюансов. Давайте рассмотрим шаги, которые могут помочь вам понять и устранить проблему, с которой вы столкнулись.

1. Понимание ограничения "Log On To"

Ограничение "Log On To" в Active Directory (AD) используется для контроля того, на каких компьютерах может аутентифицироваться определенный пользователь. Если это ограничение установлено, пользователь сможет войти только на те компьютеры, которые указаны в этом поле. Принимая это во внимание, давайте проанализируем ключевые аспекты вашего случая.

2. Проверка правильности ввода учетных данных

Ошибка ldap_bind: Invalid credentials (49) с дополнительной информацией data 52e указывает на неверные учетные данные. Это может произойти по нескольким причинам:

• Убедитесь, что вы используете правильное имя пользователя и пароль.
• Проверьте, что имя пользователя указано корректно (требуется указание в формате username или username@domain.com).
• Убедитесь, что параметр "Log On To" пользователя правильно настроен и включает ваш компьютер.

3. Настройка "Log On To"

Чтобы воспользоваться ограничением "Log On To", вы должны убедиться, что ваш Linux-машина правильно настроена и зарегистрирована в AD. Ваша команда по объединению может быть правильной, но стоит проверить:

• Параметры безопасности: Возможно, есть дополнительные настройки сетевого контроля или брандмауэры, блокирующие доступ.
• Доступ к компьютеру: Проверьте, разрешен ли доступ для вашей учетной записи к конкретному компьютеру. Выполните это через вкладку "Account" в свойствах пользователя AD.

4. Логи и диагностика

Для более глубокого анализа вы можете включить режим отладки в SSSD (System Security Services Daemon), что позволит вам видеть более подробные сообщения об ошибках. Для этого измените конфигурацию в /etc/sssd/sssd.conf, добавив следующую строку:

debug_level = 5

После внесения изменений не забудьте перезапустить службу SSSD:

sudo systemctl restart sssd

5. Проверка конфигурации DNS

Поскольку вы привязали вашу Linux-машину к домену, убедитесь, что DNS правильно настроен. Команда:

nslookup <hostname>.<domain_name>

должна возвращать правильный IP-адрес вашего AD-сервера. Неправильная настройка DNS часто является источником многих проблем связи.

6. Альтернативные методы аутентификации

Если проблема сохраняется, возможно, стоит рассмотреть обновление настроек аутентификации или временно отключить "Log On To" для тестирования. Это позволит вам соединиться с AD и выявить, являются ли ограничения причиной проблемы.

Заключение

Работа с Active Directory может быть сложной, особенно с учетом различных настроек безопасности и особенностей системы. Пошаговый подход, начиная с проверки учетных данных и заканчивая отладкой журнала, может существенно помочь в нахождении решения. Если вышеуказанные шаги не помогли, возможно, стоит обратиться за помощью к системному администратору или в службу поддержки, так как они смогут углубиться в специфические настройки вашего окружения.