Realm Join Linux – не удается войти с пользователем AD

Вопрос или проблема

# Аутентификация:
AllowGroups "Domain Admins"

[sssd]
domains = example.corp
config_file_version = 2
services = nss, pam

[domain/example.corp]
dyndns_update = false
default_shell = /bin/bash
krb5_store_password_if_offline = True
cache_credentials = True
krb5_realm = EXAMPLE.CORP
realmd_tags = manages-system joined-with-adcli
id_provider = ad
fallback_homedir = /home/%u@%d
ad_domain = example.corp
ad_hostname = DC01.example.corp
use_fully_qualified_names = True
ldap_id_mapping = True
access_provider = ad

> ssh -l [email protected] 10.120.10.106
[email protected]@10.120.10.106's password:
Доступ запрещен, пожалуйста, попробуйте еще раз.
[email protected]@10.120.10.106's password:

20 ноя 14:28:32 MYLINUX krb5_child[918103]: Предаутентификация не удалась: Неверный аргумент
20 ноя 14:28:32 MYLINUX krb5_child[918104]: Предаутентификация не удалась
20 ноя 14:28:32 MYLINUX krb5_child[918104]: Предаутентификация не удалась
20 ноя 14:28:32 MYLINUX krb5_child[918104]: Предаутентификация не удалась

Ответ или решение

Проблема с входом в систему в Red Hat Linux 9 с использованием учетной записи Active Directory

Добавление Red Hat Linux 9 в Active Directory (AD) — сложная задача, которая может вызвать множество проблем при попытке входа с использованием учетной записи домена. В представленном случае основная проблема заключается в том, что вход с помощью учетной записи, находящейся в группе "Domain Admins", не выполняется.

Анализ ситуации

1. Настройки линуксовой системы: Процесс присоединения к домену был правильно выполнен, и компьютер отображается в Active Directory.

2. Конфигурационный файл SSH:

   AllowGroups "Domain Admins"

   Эта строка ограничивает доступ через SSH только для членов группы "Domain Admins". Данная настройка может препятствовать входу, если ваша учетная запись не может корректно авторизоваться.

3. Конфигурация SSSD:
   Файл /etc/sssd/sssd.conf содержит основные параметры для интеграции с Active Directory и Kerberos. Однако была отмечена потенциальная проблема с параметром ad_hostname, так как он не совпадал с именем хоста, зарегистрированным в Active Directory.

4. Журнал сообщений:
   Из сообщения журнала:

   Nov 20 14:28:32 MYLINUX krb5_child[918103]: Pre-authentication failed: Invalid argument

   Указывает, что не произошло предварительной аутентификации, что может быть связано с проблемами Kerberos, такими как неправильное имя хоста.

Решение проблемы

Как показали испытания, удаление строки AllowGroups из файла sshd_config решило проблему с входом. Это может указывать на то, что настройки SSH не были полностью совместимы с конфигурацией Kerberos и Active Directory, что привело к отказу в доступе, даже несмотря на то, что учетная запись находится в группе "Domain Admins".

Рекомендации

1. Проверка параметров конфигурации: Убедитесь, что все параметры в файлах конфигурации соответствуют требованиям Active Directory. Особенно важно, чтобы значение ad_hostname совпадало с фактическим Fully Qualified Domain Name (FQDN).

2. Тестирование Kerberos: Используйте утилиты, такие как kinit, для проверки Kerberos аутентификации перед попыткой входа через SSH, чтобы убедиться, что аутентификация проходит без ошибок.

3. Логи и отладка: Всегда проверяйте системные журналы (/var/log/secure, /var/log/messages и другие) при возникновении проблем с аутентификацией, поскольку они могут предоставить подсказки о том, что пошло не так.

4. Обновление документации: После успешного решения проблемы, обязательно документируйте изменения и настройки, чтобы в будущем избежать аналогичных ситуаций.

Следуя этим шагам и рекомендациям, вы сможете успешно интегрировать Red Hat Linux 9 с Active Directory и обеспечить корректную аутентификацию пользователей с использованием учетных записей AD.