我之前使用的是 Ubuntu 15.10,但今天升级到了 16.04 LTS。升级后,我无法再通过 AD 进行身份验证。我尝试使用https://help.ubuntu.com/lts/serverguide/sssd-ad.html作为从头开始配置所有内容的指南。一切都运行良好,直到步骤测试认证。
我无法使用
su - myusename
当我检查我的 auth.log 时,我看到以下几行:
Apr 28 12:59:30 PC1899 su[3134]: pam_krb5(su:auth): user myusename authenticated as myusename@DOMAIN
Apr 28 12:59:30 PC1899 su[3134]: (rdconf1.c:744): path to luserconf set to /home/DOMAIN/myusername/.pam_mount.conf.xml
Apr 28 12:59:30 PC1899 su[3134]: (pam_mount.c:365): pam_mount 2.14: entering auth stage
Apr 28 12:59:30 PC1899 su[3134]: pam_sss(su:account): Access denied for user myusername: 4 (System error)
Apr 28 12:59:30 PC1899 su[3134]: pam_acct_mgmt: System error
Apr 28 12:59:30 PC1899 su[3134]: (pam_mount.c:133): clean system authtok=0x55da4f8329c0 (4)
Apr 28 12:59:30 PC1899 su[3134]: FAILED su for myusername by localuser
使用 Google 搜索该错误并没有带来任何我能使用的线索。
我该如何调试这个问题?或者更好的是,让它重新工作?
答案1
查看 /var/log/sssd/gpo_child.log(最终提前提高日志级别)。升级到 16.04 后,我的系统出现无法创建 /var/lib/sss/gpo_cache/example.com 的错误
mkdir -p /var/lib/sss/gpo_cache/example.com
chown -R sssd:sssd /var/lib/sss/gpo_cache
解决了这些问题,我可以再次使用 AD 用户登录。
答案2
确保你的
/etc/sssd/sssd.conf
有
use_fully_qualified_domain_name = False
还请执行以下操作
realm deny --all
realm permit --groups <[email protected]>
重启 sssd 和 realm
答案3
凭借优秀的来自 Hmpf 的指针我检查了日志/var/log/sssd/
并意识到gpo_child.log
我的机器无法获取 GPO,而 GPO 是确定谁有权在本地和/或远程登录所必需的。
我的本地防火墙不允许向端口 445/tcp (SMB) 发送流量。我的计算机能够再次获取 GPO 后,登录错误就消失了。