我是新来的,所以如果我确实错过了这里的某些规则,请告知我。
我们在 Windows Server 2016 AD 域中运行计算机网络。
在 Ubuntu 16.04 中,我们配置了 Ubuntu 以允许域用户通过 Kerberos 和 SSSD 登录。登录时也会通过 pam_mount 安装 CIFS 共享。
这在 Ubuntu 16.04 中运行完美。但是在 Ubuntu 17.10 中使用同样的 smb.conf、sssd.conf 和 pam_mount.conf.xml 时,登录有时有效,有时无效!无论是通过 GUI 和命令行,还是 ssh。
查明错误确实令人沮丧,因为它并不经常发生,而且使用 AD 凭据登录有时确实有效!
据我从 DC 方面收集到的信息,当 Ubuntu 17.10 客户端上的登录失败时,客户端没有从 DC 请求 kerberos 票证。
由于我对 SSSD、Kerberos 和 PAM 不太熟悉,我想知道我是否错过了这些软件包中的一些新开发,而这些新开发需要额外的配置?
我应该从哪里开始查明问题?
sssd_pam.log 中的错误是:
(Thu Nov 2 18:57:00 2017) [sssd[pam]] [pam_dom_forwarder] (0x0100): pam_dp_send_req returned 0
(Thu Nov 2 18:57:00 2017) [sssd[pam]] [sss_dp_req_destructor] (0x0400): Deleting request: [0x5653aba02710:3:[email protected]@domain.name]
(Thu Nov 2 18:57:00 2017) [sssd[pam]] [sbus_remove_timeout] (0x2000): 0x5653abdb83b0
(Thu Nov 2 18:57:00 2017) [sssd[pam]] [pam_dp_process_reply] (0x0200): received: [4 (System error)][domain.name]
sssd.conf 如下所示:
[sssd]
config_file_version = 2
services = nss,pam
domains = domain.name
[nss]
[pam]
debug_level = 8
[domain/domain.name]
debug_level = 8
id_provider = ad
access_provider = ad
auth_provider = ad
enumerate = true
cache_credentials = false
case_sensitive = false
override_homedir = /home/%u
default_shell = /bin/bash
create_homedir = true
remove_homedir = true
krb5.conf 如下:
[libdefaults]
default_realm = DOMAIN.NAME
ticket_lifetime = 24h
renew_lifetime = 7d
[realms]
CYANOLAB = {
kdc = server1.domain.name
kdc = server2.domain.name
admin_server = server1.domain.name
}
并且 smb.conf 如下:
[global]
workgroup = DOMAIN
client signing = yes
client use spnego = yes
realm = domain.name
security = ads
kerberos method = secrets and keytab
我到目前为止尝试过的:
cache_credentials在 SSSD 配置中启用。- 重新安装了整个系统。
- 摆弄 common-* 文件。
- 手动重新启动所有服务(smbd、sssd、网络)。
但一切都没有成功。
我真的非常感激任何可以指引我正确解决这个神秘(至少对我来说)问题的提示。