我已成功将我的机器添加到公司域中。当我尝试在登录屏幕上或通过 su 使用我的域凭据登录时,我看到一条消息“正在应用机器设置”,几秒钟后出现“无法设置用户凭据”。
我可以使用sudo su - <domain username>
登录 并且whoami
输出id
看起来正确。但这对日常使用没有什么帮助。
local@nick-precision-7560:~$ realm list
dom.mycompany.com
type: kerberos
realm-name: DOM.MYCOMPANY.COM
domain-name: dom.mycompany.com
configured: kerberos-member
server-software: active-directory
client-software: sssd
required-package: sssd-tools
required-package: sssd
required-package: libnss-sss
required-package: libpam-sss
required-package: adcli
required-package: samba-common-bin
login-formats: %[email protected]
login-policy: allow-permitted-logins
permitted-logins: [email protected]
permitted-groups:
local@nick-precision-7560:~$ id [email protected]
uid=1666422094([email protected]) gid=1666400513(domain [email protected]) groups=1666400513(domain [email protected]), ... <many other groups from AD> ...
local@nick-precision-7560:~$ su - [email protected]
Password:
Applying machine settings
ERROR Error from server: error while updating policy: can't get policies for "nick-precision-7560.dom.mycompany.com": one or more error while parsing downloaded elements: /var/cache/adsys/sysvol/Policies/{D8DF0C39-D713-439F-8C58-F041634FAD87}/Machine/Registry.pol :can't parse policy: invalid policy: item does not end with ']'
su: cannot open session: Failure setting user credentials
我尝试打开这个 Registry.pol 文件,但它对我来说不太容易理解——它是二进制和 ASCII 字符串的混合。我删除了整个策略文件夹,以便再次下载,当我尝试再次登录时,相同的策略文件夹被重新创建,但结果是一样的。我重新启动了 pam 和 sssd,但这并没有改变一切。我重新启动了整个系统,但这并没有改变一切。
以下是我的 sssd.conf 的样子:
[sssd]
domains = dom.mycompany.com
config_file_version = 2
services = nss, pam
[domain/dom.mycompany.com]
default_shell = /bin/bash
krb5_store_password_if_offline = True
cache_credentials = True
krb5_realm = DOM.MYCOMPANY.COM
realmd_tags = manages-system joined-with-adcli
id_provider = ad
ldap_sasl_authid = NICK-PRECISI$
fallback_homedir = /home/%u@%d
ad_domain = dom.mycompany.com
use_fully_qualified_names = True
ldap_id_mapping = True
access_provider = simple
simple_allow_users = nick
编辑:我打开了 PAM TUI,sudo pam-auth-update
然后取消选择了“ADSys 身份验证”。这样做之后,我能够使用我的域凭据登录sudo su -
,而无需,我也可以在登录屏幕上登录。因此,SSSD 和 PAM 以及与 ADsys 相关的问题似乎一切正常。
由于 ADSys 是新推出的,我以前从未使用过,因此我不确定禁用它到底会错过什么。我是用户,而不是域管理员,所以也许它真的不会影响我。我不愿意将此称为答案,因为显然仍然存在问题。这个 Registry.pol 文件可能在 DC 上已损坏。